作者adearlover (阿眼)
看板MIS
标题[心得] 公司的RDP主机中镖了
时间Sat Aug 31 20:19:18 2019
公司的Win2008 R2 RDP主机在8/26被骇入,被骇的至少有三个网域帐号
帐号以往都会设定登入时自动挂载网路磁碟机连接到档案伺服器
8/26早上6:40就有来自葡萄牙的IP(82.102.21.212)用被骇的网域帐号登入此RDP主
机,并执行一个名为AntiRecuvaAndDB.exe的程式来加密各磁碟区下有写入权限的档案
(当时看到工作管理员中出现这一处理程序)
导致档案伺服器下此帐号有权限能写入的档案都被加密,约占全部档案的30%
被加密的档案有出现含有骇客e-mail的副档名字串
https://i.imgur.com/5JjsZtH.jpg
不过并没有发现在各加密资料夹下有汇款说明文字档
还好档案伺服器每天都有做备份,确定无安全疑虑就将档案倒回去了
在被骇前此RDP主机有在内建的windows防火墙RDP规则中做设定
只有限定某几个外部信任IP才能连入远端桌面服务
且也有用以外的几个外部IP做测试证实是会被挡掉的
微软五月公布的RDP漏洞安全更新也已经安装,但八月的更新还未做
不过内建防火墙显然没有发生作用,没能挡下这些白名单以外的IP
怀疑是否被用RDP漏洞开采了
骇客还上传了一些工具,应是用来取得目前登入该主机的帐号密码
被骇的三个帐号资料夹下都有这些档案
https://i.imgur.com/O44L4WV.jpg
目前作法是在Router上针对RDP主机设定外部IP存取白名单
将被骇帐号停用,并删除user profile资料夹
将能登入到RDP主机的帐号设定到最少,且这些帐号不再自动挂载磁碟机
关於在Server端是否还有哪些安全措施必须做、建议做的呢?
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.239.202.50 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1567253960.A.F24.html
1F:推 sssxyz: 可以找xdr的厂商去poc一下.... 08/31 21:23
2F:→ slash66: RDP不要对外,要连建议用VPN的方式比较好 08/31 21:47
3F:→ alphanet: 到底为什麽要开RDP对外???? 08/31 22:09
4F:推 ZenFoneX: 换Server2019吧,安全性好很多 08/31 22:24
5F:推 ddoll288: 主机防火墙其实没有想像中的安全,这就是为什麽要买实体 09/01 00:48
6F:→ ddoll288: 防火墙的原因.常看到明明设了防火墙还是被入侵的case 09/01 00:48
7F:→ ddoll288: windows,Linux都有,因为谁知道漏洞是在谁身上? 09/01 00:50
8F:→ ddoll288: OS本身?防火墙?对外服务?还有就是现在看到的漏洞是发现 09/01 00:51
9F:→ ddoll288: 并修补後才公开的漏洞,那没公开的不就....?? 09/01 00:52
10F:→ ddoll288: 骇客发现漏洞没必要公开吧?这样就少了入侵的路,很不方便 09/01 00:54
11F:→ ddoll288: 如果有对外服务,请买硬体防火墙,至少入侵异质系统还是难 09/01 00:56
12F:→ ddoll288: x86的code丢arm还跑得动吗? 哈哈 09/01 00:57
其实这台RDP主机也不算直接对外,也是在router後面
只是有开port re-direct,而且也把原本的RDP port 3389改了
不过还是被骇,看来还是用VPN会比较安全
※ 编辑: adearlover (114.33.57.71 台湾), 09/01/2019 07:54:29
13F:→ Klauhal: 骇客要攻击就是port全扫,改port没什麽用... 09/01 08:45
14F:推 goodga: 这样就等於直接对外啊 骇客都扫ip跟all ports 09/01 09:29
15F:→ dennisxkimo: 对内也是要防啊,哪个不长眼的中毒,通常低成本管理 09/01 10:50
16F:→ dennisxkimo: ,内部防御力很低 09/01 10:50
17F:→ dennisxkimo: 被rdp扫try,没成功前事件监视器有迹可循 09/01 10:55
18F:→ dennisxkimo: 每次看到提醒客户,大概提醒好几季,直到被勒索挖矿 09/01 10:56
19F:→ dennisxkimo: 为止 09/01 10:56
20F:→ dennisxkimo: 我觉得挖矿很良心,通常没什麽资料损失,近年怕很快 09/01 10:58
21F:→ dennisxkimo: 被发现大概锁在cpu 50~60% 09/01 10:58
22F:推 Wishmaster: 当然不能满载,满载你更快会发现...傻傻der 09/01 11:19
23F:→ dennisxkimo: 早期的是满载的,很快被就通报了,挖矿是要稳定偷偷 09/01 12:20
24F:→ dennisxkimo: 来不被发现,勒索是强盗,挖矿是毛贼 09/01 12:20
25F:→ dennisxkimo: 所以会有些为了不被发现的改进也不意外就是了 09/01 12:20
26F:→ dennisxkimo: 不过真的看过双E5处理器主机被满载挖了一年以上的案 09/01 12:22
27F:→ dennisxkimo: 例 09/01 12:22
28F:→ dennisxkimo: 被挖的就是忍受系统效能不好的状况下持续一年 09/01 12:23
29F:→ konkonchou: 一般会建立其他专用帐号,限制只能执行特定程式,其他 09/01 12:55
30F:→ konkonchou: 什麽都不能作,不然还是建议走VPN 09/01 12:55
31F:推 gogohc: Rdp浮在Internet ... 09/01 13:40
32F:推 Lawrancechan: 架个novnc 过个水 再freerdp 安全又web 很方便 09/01 22:35
33F:推 chemi0213: 有备份可以倒 推一个 09/02 00:21
34F:→ TPPCMAN: 有遇过 有缴赎金 09/02 11:05
35F:推 lusaka: 希望34楼的苦主,可以分享过程让mis的各位有所成长 09/02 17:21
36F:推 laikyo: 遇过,被放门罗挖矿。 09/02 19:32
这几天为file server建立了一个NAS异地备份,做为第二个资料备份
主机被骇环境可以重建,但file server被加密又没有备份,那可就是晴天霹雳了
前几天卫福部的医疗所主机也被骇进而导致多台主机资料被加密
虽没说是透过哪种方式,不过还是藉此提醒IT杂工们最近得多花点心思在资安上了
※ 编辑: adearlover (114.33.57.71 台湾), 09/03/2019 02:19:19
37F:→ dennisxkimo: 小心NAS也被攻 备份快照跟定期离线媒体副本还是要做 09/03 16:41
38F:→ dennisxkimo: 看过Server跟NAS全中的 09/03 16:43
39F:→ zbug: 看过 FileServer 不设权限,工读生也能看到财务或人资的资料 09/03 17:41
40F:→ zbug: 问过老板,老板说 相信员工 不该防员工,都给看也没差 09/03 17:42
41F:→ zbug: 但是,不是看的问题,是也有删除的权限... 09/03 17:42
42F:→ blackhippo: 楼上遇到那麽佛系的老板还不赶快逃... 09/03 20:57
43F:→ JamesGO: 等被误删了可能就不佛了.... 09/04 03:53
44F:→ zbug: 已经逃了,所以现在失业中...该公司还是上市上柜勒 = =a 09/04 07:11
45F:推 lusaka: 既然是佛系老板,应该更要要求经费规划,逃了有用吗 09/04 09:04
46F:→ changmary: vpn再rdp比较好吧,双重认证 09/04 19:19
47F:→ zbug: 如果有资讯预算...我又何必逃 XDDD 09/04 20:02
48F:推 lusaka: 只有让老板痛过,而你能撑过那个痛,你就有预算了, 09/05 00:49
49F:→ lusaka: 不过这个要看运气了 09/05 00:50
50F:→ zbug: FileServer Raid5,没备份排程也没备份空间 09/05 06:48
51F:→ zbug: 老板问说:会容易坏吗?就赌赌看,撑到公司有多的预算吧 09/05 06:49
52F:→ zbug: 我只好弄一颗4T外接硬碟,用简易的批次档方式跑备份 09/05 06:50
53F:→ zbug: 某天,主机板挂了,老板说:好险你有备份.... 09/05 06:51
54F:→ zbug: 之後,也没买新的主机,直接拿汰换的一般桌机当 FileServer 09/05 06:53
55F:推 lusaka: 惨...果然很佛心, 09/05 08:56
56F:→ asdfghjklasd: 很多是靠人的能力去撑的 09/05 09:47
57F:→ dennisxkimo: 老板後悔…当初用pc+备份就好XD 09/05 14:21
58F:推 zbug: 我才真的佛心,那颗4T外接硬碟还是我私人买的,就是怕出事 09/05 15:08
59F:→ zbug: 结果真的出事,老板还问我,是不是故意把它弄坏的... 09/05 15:08
60F:→ zbug: 通常会离开一份工作,不会只是单单预算问题,还有心累了 XDD 09/05 15:10
61F:→ dennisxkimo: 如果我老板这样问我 我应该马上辞呈 09/05 22:15
62F:→ lusaka: 如果老板这样问,肯定是要离职,因为这个环境对你的信任度 09/06 11:02
63F:→ lusaka: 就是问号了 09/06 11:02
64F:推 roseson11: 不是有远端管理工具,干嘛还用RDP? vpn+rsat就可以达 09/10 00:35
65F:→ roseson11: 成! 09/10 00:35