サーバーのブルートフォースに関する統計を収集して処理した方法

ネットワーク内のRDPブルートフォースに関する統計を収集するために、5つのハニーポット（以下、単に「サーバー」）を配置しました。



1つのサーバーはロンドンにあり、もう1つはチューリッヒにあり、1つはM9の安全なネットワークにあり、他の2つは安全なネットワークと安全でないネットワークのRucloudデータセンターにありました。各サーバーのIPアドレスは異なるサブネットにあり、各IPアドレスは最初のオクテットによって区別されます。次の式を使用してIPアドレス間のスキャン「距離」を測定しようとすると：



（（サブネット＃1の最初のオクテット）-（サブネット＃2の最初のオクテット））*（2 ^ 24）、



0.0.0.0/0をスキャンする場合、攻撃者は少なくとも771751936のIPアドレスを調べて、互いに最も近い2つのサーバーを見つける必要があります。さらに、どのサーバーもICMPに応答せず、各IPアドレスは3か月間誰にも使用されず、5つのサーバーすべてが同時にポートを開きました。すべてのサーバーがADに接続されました。

マルチカラーグラフィック

興味深いものから始めて、重要なもので終わります。







スタートは良かった。最初のブルートフォーサーは、ポートが開かれた最初の1時間にRucloudのサーバーにアクセスしました。他のすべてのデータセンターでは、サーバーは2時間以内にのみ検出されました。



チャートからわかるように、ブルートフォースは日々あまり変化していません。そして、あなたが一日の時間を見るならば？これがグラフです。異なる色は異なる日です。





時刻スケジュールdcZUR1。





保護されたサブネットM9の時刻グラフ。





DCLD8の時刻グラフ。





保護されたRucloudサブネットの時刻グラフ。





Rucloudの時刻グラフ。



退屈な絵ですが、時間帯によって絵は変わらないと言えます。



時刻ごとに同じチャートを見てみましょう。ただし、すべてのデータセンターの合計です。





積み上げ時刻グラフ。





時刻グラフ。



ブルートフォースのパターンは、時間帯によって変化しません。つまり、ブルートフォース攻撃に参加したデバイスは常にオンになっている可能性があります。





1つの保護されていないRucloudサブネット上の各アドレスの失敗したログイン試行の統計。



合計89のIPアドレスが、保護されていないRucloudサブネットの1つで丸1週間の検索に参加しました。 10個のIPアドレスが114809回の試行の50％を占めました。





すべてのデータセンターの各アドレスの失敗したログイン試行の統計。



同じことですが、すべてのデータセンターの統計のみが含まれます。すべての統計の50％が15のIPアドレスを満たしました。5つのサーバーすべてで50万回以上の試行がありました。攻撃者はどのように異なっていましたか？







すべてのネットワークで143個のIPアドレスが表示され、5台のサーバーすべてで29個のIPアドレスのみが表示されました。すべての攻撃者の半分未満が2つ以上のサーバーを攻撃していました。これは、IPアドレス間のスキャン距離が重要であることを意味します。これは、攻撃者がnmapを使用して、開いているポートに関する情報を取得し、IPアドレスを1つずつスキャンしたことを意味します。

ボットネットを数える

検索に使用されたレポートとユーザー名を見ると、異なるIPアドレスを使用している辞書、辞書へのログイン数に驚かされました。



これらがすべて異なる辞書を持つ異なるボットネットであると仮定して、N個のボットネットを数えました。それぞれの辞書は次のとおりです



。admin、administrator、administrador、administrateur、admin、administrator、administrador、administrateur、ADMIN、USER、USER1、TEST、TEST1、ADMINISTRATOR、USER1、USER2、USER3、USER4、USER5、USER6、USER7、USER8、 USER9、HP、ADMIN、USER、PC、DENTAL



このボットネットは最大で、最大の辞書を使用していました。を含む、さまざまな言語での多くのログインがありました。ロシア語、フランス語、英語：



1、12、123、1234、12345、13、14、15、19、1C、CAMERA、CAMERA、ADMIN、USERL8、GVC、ADMINISTRATEUR、IPAD3、USR_TERMINAL、JEREMY、ADMINISTRATOR、ADM、ALYSSA、ADMINISTRATOR、CAMERA、ATAMER CAMERA、ADMIN、USERL8、GVC、ADMINISTRATEUR、USR_TERMINAL、JEREMY、IPAD3、USR_TERMINAL、JEREMY、ADMINISTRATOR、ADMIN、ADM、SERGEY、OLEG、IRINA、NATASHA、SYSTEM、SERVICE、GVC、USTRATER ADMIN、ADM、SERGEY、OLEG、IRINA、NATASHAなど、中国語のログインも含まれます。



中国語と英語の単語のみを使用した辞書がありました。 Powershellを使用してデータベースから中国語の文字を抽出できませんでした。ここに中国の同志の語彙のほんの一部があります：



SHENZHEN、TIANJIN、MANDARIN、CHONGQING、SHENYANG、XIAN、CONS、CHINA、TECHNOLOGY、ISPADMIN、BEIJING、SHANGHAI



これらのログインを反復しようとしている単一のIPアドレスもありました。おそらく、子供たちだけが遊んでいます：



USR1CV8、ADMINISTRATOR

ADMI、NIMDA、ADMS、ADMINS



パスワードに対する愚かなブルートフォース攻撃、パスワードの辞書検索がありますが、多かれ少なかれ興味深い検索があります。攻撃者は、ユーザー名、SMB共有、場合によってはパスワードハッシュ、コンピューター名、ADドメイン名、またはワークグループを取得することができます。



セキュリティスペシャリストはBloodHoundについて知っており、ハッカーはそれについて知っています。 ADをデフォルトの状態のままにしておくと、ドメイン名、コンピューター名、さらにはユーザーパスワードのハッシュを盗むことができます。 HabréはすでにADとこのツールの攻撃ベクトルについて書いています。この素晴らしい資料を読むことをお勧めします。



ちなみに、サーバー名とドメインを使った最初の攻撃は、ポートが開かれてから13時間後に始まりましたが、攻撃者はすぐに遅れを取り、138回しか侵入しようとしませんでした。同じ辞書を使った2回目のそのような攻撃は、3日後に繰り返されましたが、長くは続きませんでした。



異なる辞書を持つ合計5つのボットネット。どのログインが最も頻繁に使用され、どの割合で使用されているかを理解するために、使用されたログインに関するより詳細な統計を収集する必要があります。すべての統計情報が正確に収集されていないため、一見したところがぼやけている可能性が高く、実際の状況はもう少し興味深いものです。

これは問題ですか？

自己分離の初めから、非常に奇妙なサーバーが使用できないことを記録し始めました。最初は、ホームインターネットプロバイダー、Netflix、およびトレントのネットワークが過負荷になるまですべてをチョークしましたが、インフラストラクチャの準備ができていない場合もありました。



Windows Server 2008の少数のクライアントが原則としてRDPにアクセスできなかったとき、インフラストラクチャに関する疑惑はすぐに消えました。セキュリティログを確認したところ、24時間で36,000回以上の攻撃が記録されました。



結局のところ、十分な強さのブルートフォースは、RDPを完全に殺すか、永続的な中断を引き起こす可能性があります。



問題の起源は完全には理解されていません。 RDPは、パック全体、または1人の攻撃者によって配置されます。スクリプトとmstsc.exeは、切断と画像のフリーズを再現できませんでした。



ブルートフォースがDDoSに変わるか、攻撃者の中には特別な方法でブルートフォースを実装しているものがあり、これも問題を引き起こします。明らかな唯一のことは、切断の時刻が失敗したログイン試行と一致することです。



最も残酷な攻撃は、私たちのサポートがRDPのラグとブレークの最大数を記録した6月のこの夏に発生しました。残念ながら、まだ統計を収集していません。





出典：Kaspersky

決定？

はい。

身を守るために必要なのは、ファイアウォールで身を隠すことだけです。しかし、私はあなたと同じ怠惰を感じるので、私はこれらのモジュールを作りました。



モジュールはWindowsPowershell5.1およびPowershellCore7で動作します。プロジェクトgithubへのリンクはここにあります。それでは、関数を見てみましょう。

保護-ブルートフォース

これまでのところ、モジュールはそれと呼ばれています。正常にログインしたすべてのIPアドレスをルールに追加して、ファイアウォールルールを変更します。静的IPアドレスと組み合わせて使用​​すると便利で、VPNゲートウェイと組み合わせてリモートデスクトップサーバーの展開を簡素化します。

保護解除-ブルートフォース

デフォルトのファイアウォールルールのRemoteAddressをリセットします。

ストップ-ブルートフォース

失敗したログインのイベントログをスキャンし、別の「Stop-Bruteforce」ルールを使用してリストからIPアドレスをブロックします。

Get-Bruteforce

各IPアドレスの統計オブジェクトの配列を返します。この関数は、上記のチャートの統計を収集するために使用されました。

インタビュー

私たちRUVDSは、オペレーティングシステムをまったく変更されていない状態でユーザーに提供する必要があると考えています。理想的な世界では、オペレーティングシステムは、最初にリリースされたときのストック状態のままで表示する必要があると考えています。しかし、結局のところ、個人アカウントからパスワードを生成するなどの機能は、生活を簡素化するだけでなく、多くのクライアントにとって単に必要なものです。このような生活の質についてのご意見をお聞かせください。投票してコメントしてください。