Oli*_*veu 7 rdp remote-desktop brute-force-attacks attacks windows-server-2012
我们在数据中心托管了一台 Windows 2012 R2 服务器,我们使用 RDP 进行管理。已启用自动更新。
管理员帐户不允许 RDP 登录,并且有多个用户帐户启用了 RDP。
我最近在日志中发现,正在进行暴力攻击,目标是服务器上实际存在的帐户之一。仔细查看日志,我发现最近至少有 3 个帐户被锁定。这不可能是巧合,因为帐户名称很复杂。
我现在已经限制了与我公司 IP 的连接,问题解决了(我知道以前应该这样做,但我们有理由不这样做)。
但是,我仍然想知道攻击者是如何获得帐户名称的。它是 RDP 的已知安全漏洞吗?
编辑:有一些元素我没有提到:这个服务器是一个虚拟机,这个虚拟机和虚拟机管理程序(Windows 2012 R2 也是)都在路由器后面,共享相同的公共 IP。RDP 使用一个非默认的公共端口进行 NAT,这是唯一的 NAT 端口。这台机器托管一个 HTTP 服务器 (kestrel),只能通过安装在另一台机器上的反向代理 (nginx) 访问。
在不了解更多详细信息的情况下,我们无法确定他们是如何获得帐户名称的。根据我的个人经验,我将向您介绍坏人获取此信息的最常见方法。
高级网络安全领域有一句话:
有两种类型的组织:被破坏的组织和不知道自己被破坏的组织。
由于您正在运行一个Active Directory Domain Services环境,因此攻击者很容易转储所有帐户的列表,并使用BloodHound等应用程序来绘制通往域管理员的路线。
坏人可以危害加入域的工作站(可能通过网络钓鱼或其他方式),然后转储实例中所有用户和计算机的列表AD DS。您无法轻松防御此类行为,因为这种行为是 AD DS 工作原理的核心。您可以以标准用户身份轻松转储所有内容,无需特殊或 priv 权限即可执行此操作。
Security Through Obscurity不再是一种选择,早在 2000 年代初和 90 年代初,它可能已经是,但有了自动化和类似的工具BloodHound,你就明白了。
安全性需要位于网络和身份层。仅网络安全边界是愚蠢的Security Through Obscurity。早在 2013 年就Wired Magazine 发表过一篇文章。
可以帮助破坏身份级别的安全控制的一个示例是多因素身份验证。还有更多,但这是另一个问题的答案。
据我所知,我不知道有任何通过 RDP 或 SMB 的攻击会直接从计算机中转储用户名。我知道攻击可以以管理员身份访问计算机,然后使用这些权限他们可以转储,但不是可以转储的直接攻击。
| 归档时间: |
|
| 查看次数: |
242 次 |
| 最近记录: |