Marar badan waan akhriyay ra'yiga ah in ku haynta dekedda RDP (Remote Desktop Protocol) ee u furan internetka ay tahay mid aan ammaan ahayn oo aan la samayn. Laakiin waxaad u baahan tahay inaad siiso marin u helka RDP midkood VPN, ama kaliya ciwaannada IP-ga "cad" qaarkood.
Waxaan maamulaa dhowr Servers Windows shirkado yaryar halkaas oo la ii igmaday bixinta marin fog oo Windows Server-ka xisaabiyeyaasha. Tani waa isbeddelka casriga ah - ka shaqeynta guriga. Si dhakhso ah, waxaan ogaaday in ciqaabta xisaabiyeyaasha VPN ay tahay hawl aan mahad lahayn, iyo ururinta dhammaan IP-yada liiska cad ma shaqeyn doono, sababtoo ah ciwaannada IP-ga ee dadku waa kuwo firfircoon.
Sidaa darteed, waxaan qaaday dariiqa ugu fudud - waxaan u gudbiyay dekedda RDP dibadda. Si loo helo, xisaabiyayaashu hadda waxay u baahan yihiin inay socodsiiyaan RDP oo ay galaan magaca martida loo yahay (ay ku jirto dekedda), magaca isticmaalaha iyo erayga sirta ah.
Maqaalkan waxaan ku wadaagi doonaa waayo-aragnimadayda (togan oo aan sidaa u wanaagsanayn) iyo talooyin.
Halista
Maxaad khatar gelinaysaa markaad furto dekedda RDP?
1) Helitaanka xogta xasaasiga ah ee aan la ogolayn
Haddii qof uu qiyaaso erayga sirta ah ee RDP, waxay awood u yeelan doonaan inay helaan xogta aad rabto inaad si gaar ah u ilaaliso: heerka koontada, baaqyada, xogta macaamiisha, ...
2) Xog luminta
Tusaale ahaan, natiijada fayraska ransomware.
Ama fal ula kac ah oo uu qaado qof weeraray.
3) Goobta shaqada oo lunta
Shaqaaluhu waxay u baahan yihiin inay shaqeeyaan, laakiin nidaamku wuu xumaaday wuxuuna u baahan yahay in dib loo rakibo/dib u soo celiyo/habeeyo.
4) Tanaasulka shabakada deegaanka
Haddii weeraryahanku uu galo kombuyuutar Windows ah, markaa kombuyuutarkan wuxuu awood u yeelan doonaa inuu galo nidaamyada aan bannaanka laga heli karin, internetka. Tusaale ahaan, in la fayl-gareeyo saamiyada, madbacadaha shabakadda, iwm.
Waxaan lahaa kiis uu Windows Server-ku qabtay ransomware
iyo ransomware-kan ayaa markii ugu horeysay sir sir ah ku galiyay inta badan faylalka C: drive ka dibna bilaabay in ay sir ku sameeyaan faylalka NAS ee shabakada. Maaddaama NAS ay ahayd Synology, oo leh sawir-qaadyo la habeeyay, waxaan ku soo celiyay NAS-da 5 daqiiqo, oo dib-u-soo-celinta Windows Server-ka xoqan.
U fiirsasho iyo Talooyin
Waxaan la socdaa Windows Servers anigoo isticmaalaya , kaas oo u soo dira diiwaannada ElasticSearch. Kibana waxay leedahay muuqaalo dhawr ah, waxaanan sidoo kale sameeyay dashboard gaar ah.
Korjoogteynta lafteedu ma ilaaliso, laakiin waxay caawisaa go'aaminta tallaabooyinka lagama maarmaanka ah.
Waa kuwan qaar ka mid ah indho-indheynta:
a) RDP waa lagu qasbi doonaa.
Mid ka mid ah server-yada, waxaan ku rakibay RDP ma ahan dekedda caadiga ah ee 3389, laakiin 443 - si fiican, waxaan isku qarin doonaa sida HTTPS. Waxay u badan tahay inay mudan tahay in dekedda laga beddelo midda caadiga ah, laakiin wax badan ma tari doonto. Waa kuwan tira-koobka serfarkan:
Waxaa la arki karaa in toddobaad gudihiis ay jireen ku dhawaad ββ400 isku dayo aan lagu guulaysan oo lagu galay RDP.
Waxaa la arki karaa in ay jireen isku dayo ah in laga soo galo 55 ciwaannada IP (ciwaanada IP-yada qaarkood ayaa horeba aniga loo xiray).
Tani waxay si toos ah u soo jeedinaysaa gabagabada inaad u baahan tahay inaad dejiso fail2ban, laakiin
Ma jiro utility noocan oo kale ah Windows.
Waxaa jira dhowr mashruuc oo laga tagay Github oo u muuqda inay tan sameeyaan, laakiin xitaa iskuma dayin inaan rakibo:
Waxa kale oo jira yutiilitida lacag bixinta, laakiin anigu kama aan tixgalin.
Haddi aad u taqaan ilo furan ujeedadan, fadlan ku wadaag faallooyinka
Cusbooneysii: Faallooyinka ayaa soo jeediyay in dekedda 443 ay tahay doorasho xun, waxaana fiican in la doorto dekedaha sare (32000+), sababtoo ah 443 marar badan ayaa la sawiraa, iyo aqoonsiga RDP ee dekeddan dhib maaha.
b) Waxaa jira magacyo isticmaale oo gaar ah oo weeraryahannadu door bidaan
Waxaa la arki karaa in baaritaanka lagu sameeyo qaamuus magacyo kala duwan leh.
Laakiin waa kuwan waxa aan ogaaday: tiro badan oo isku dayo ah ayaa u isticmaalaya magaca server-ka soo gelitaan ahaan. Talo soo jeedin: Ha u isticmaalin isku magac kombayutarka iyo isticmaalaha. Waxaa intaa dheer, mararka qaarkood waxay u egtahay inay isku dayayaan inay si uun u kala qaybiyaan magaca server-ka: tusaale ahaan, nidaamka leh magaca DESKTOP-DFTHD7C, isku dayada ugu badan ee lagu galo waxay la socdaan magaca DFTHD7C:
Sidaas awgeed, haddii aad haysato kombuyuutar DESKTOP-MARIA, waxaad u badan tahay inaad isku dayayso inaad gasho adigoo isticmaalaya MARIA.
Wax kale oo aan ka ogaaday diiwaanka: nidaamyada intooda badan, isku dayada ugu badan ee lagu galo waxay la socdaan magaca "maamulaha". Tani maaha sabab la'aan, sababtoo ah noocyo badan oo Windows ah, isticmaaluhu wuu jiraa. Waxaa intaa dheer, lama tirtiri karo. Tani waxay u fududaynaysaa hawsha weeraryahannada: intii aad qiyaasi lahayd magaca iyo erayga sirta ah, waxaad u baahan tahay oo kaliya inaad qiyaasto erayga sirta ah.
Jid ahaan, nidaamka qabtay madax furashada wuxuu lahaa maamulaha isticmaalaha iyo erayga sirta ah Murmansk#9. Wali ma hubo sida nidaamkaas loo jabsaday, sababtoo ah waxaan bilaabay la socodka dhacdadaas wax yar ka dib, laakiin waxaan u maleynayaa in xad-dhaafku ay u badan tahay.
Markaa haddii isticmaaleha Maamulaha aan la tirtiri karin, markaa maxaad samaynaysaa? Waad bedeli kartaa!
Talooyinka cutubkan:
- ha isticmaalin username ee ku jira magaca kombiyuutarka
- Hubi in aanu jirin isticmaale maamule nidaamka
- isticmaal furaha sirta ah ee xooggan
Marka, waxaan daawanayay dhowr Servers Windows oo aan gacanta ku hayo oo lagu qasbayo ilaa laba sano hadda, guulna la'aan.
Sideen ku ogaadaa in aan lagu guulaysan?
Sababtoo ah shaashadaha kore waxaad ku arki kartaa inay jiraan diiwaannada wicitaannada RDP ee guuleysta, kuwaas oo ka kooban macluumaadka:
- kaas oo IP
- kombiyuutarkee (magaca martida loo yahay)
- Magaca isticmaalaha
- macluumaadka geoIP
Oo si joogto ah ayaan halkaas u hubiyaa - wax cillado ah lama helin.
Jid ahaan, haddii IP gaar ah si gaar ah loogu qasbo si adag, markaa waxaad xannibi kartaa IP-yada shakhsi ahaaneed (ama shabakadaha hoose) sida tan PowerShell:
New-NetFirewallRule -Direction Inbound -DisplayName "fail2ban" -Name "fail2ban" -RemoteAddress ("185.143.0.0/16", "185.153.0.0/16", "193.188.0.0/16") -Action BlockBy habka, Elastic, marka lagu daro Winlogbeat, sidoo kale leeyahay , kaas oo la socon kara faylasha iyo hababka nidaamka. Waxa kale oo jira SIEM (Macluumaadka Amniga & Maareynta Dhacdada) codsiga gudaha Kibana. Waan isku dayay labadaba, laakiin ma arag faa'iido badan - waxay u egtahay in Auditbeat ay faa'iido badan u yeelan doonto nidaamyada Linux, SIEMna ima tusin wax la fahmi karo weli.
Hagaag, talooyinka ugu dambeeya:
- Samee gurmad toos ah oo toos ah.
- ku rakib Cusboonaysiinta Amniga waqti ku habboon
Gunnada: liiska isticmaalayaasha 50 ee inta badan loo isticmaali jiray isku dayga soo galitaanka RDP
"user.name: Soo degaya"
Xisaabi
dfthd7c (magaca martida)
842941
winsrv1 (magaca martida loo yahay)
266525
MAAMULE
180678
maamulaha
163842
Maamulaha
53541
michael
23101
server
21983
Steve
21936
John
21927
paul
21913
soo dhaweynta
21909
mike
21899
xafiiska
21888
scanner
21887
scan
21867
david
21865
Chris
21860
Mulkiilaha
21855
Tababaraha kooxda
21852
maamulaha
21841
brian
21839
maamulaha
21837
sumadda
21824
shaqaalaha
21806
ADMIN
12748
xididka
7772
MAAMULKA
7325
TAAGEERADA
5577
TAAGEERADA
5418
USER
4558
admin
2832
TEST
1928
MySql
1664
Admin
1652
Marti
1322
USER1
1179
FADEEXAD
1121
SCAN
1032
MAAMULKA
842
ADMIN1
525
DIIWAANKA
518
MySqlAdmin
518
QAABILO
490
USER2
466
TEMP
452
SQLADMIN
450
USER3
441
1
422
MAAMULAHA
418
QOFKA
410
Source: www.habr.com