我们在数据中心托管了一台 Windows 2012 R2 服务器,并使用 RDP 进行管理。已启用自动更新。
管理员帐户不允许使用 RDP 登录,并且有多个用户帐户启用了 RDP。
我最近在日志中发现,有一次暴力攻击正在进行,目标是服务器上实际存在的一个帐户。深入查看日志后,我发现最近至少有 3 个帐户成为攻击目标。这不可能是巧合,因为帐户名称很复杂。
我现在已经限制了与我公司 IP 的连接,问题解决了(我知道以前就应该这样做,但是我们有理由不这样做)。
不过,我仍然想知道攻击者是如何获得这些账户名称的。这是 RDP 已知的安全漏洞吗?
编辑:有几个元素我没有提到:此服务器是虚拟机,并且此 VM 和虚拟机管理程序(也是 Windows 2012 R2)都位于路由器后面并共享相同的公共 IP。RDP 使用非默认公共端口进行 NAT,这是唯一的 NAT 端口。此计算机托管 HTTP 服务器(kestrel),只能通过安装在另一台计算机上的反向代理(nginx)进行访问。
答案1
概述
如果不了解详细信息,我们无法确定他们是如何获得账户名的。根据我的个人经验,我将向您介绍坏人获取此信息的最常见方式。
假设违反
在先进的网络安全领域有这样一句话;
有两种类型的组织:被入侵的组织和不知道自己被入侵的组织。
由于你正在运行一个Active Directory Domain Services环境,攻击者很容易转储所有帐户的列表并使用类似的应用程序猎犬为域管理员制定路线图。
容易接近
坏人可以入侵单个域加入的工作站(可能是通过网络钓鱼或其他方式),然后转储AD DS实例中所有用户和计算机的列表。您无法轻松防御此类行为,因为此行为是 AD DS 工作方式的核心。您可以以标准用户身份轻松转储所有内容,无需特殊或特权权限即可执行此操作。
身份边界
Security Through Obscurity不再是一种选择,早在 21 世纪初和 90 年代,它可能曾经是一种选择,但随着自动化和诸如此类的工具的出现BloodHound,你就会明白。
安全性需要从网络和身份层着手。仅依靠网络的安全边界是愚蠢的Security Through Obscurity。Wired Magazine 发表了一篇文章2013 年就曾讨论过这个问题。
有助于防止身份级别违规的安全控制的一个例子是多因素身份验证。还有很多,但那是针对另一个问题的答案。
RDP/SMB 账户转储
据我所知,我还没有发现任何通过 RDP 或 SMB 进行的攻击转储用户名攻击直接导致计算机崩溃。我知道有些攻击可以以管理员身份访问计算机,然后利用这些权限进行转储,但不是直接攻击就可以进行转储。
链接
- 保护特权访问
- 特权访问工作站
- ESAE/红色/Priv 森林
- Microsoft 身份管理器
- 米米卡茨(密码/机密泄露)