無(wú)來(lái)源ip的RDP爆破防御對(duì)策小記

前言

本該是風(fēng)和日麗的一天,閑得無(wú)聊,打開(kāi)了windows的事件查看器,誒,我不是換了rdp(遠(yuǎn)程桌面連接)的默認(rèn)端口了嗎,竟然還這么多登錄日志,得~ 換端口果然是自欺欺人的事情。被爆破了。再仔細(xì)一看事件中竟然沒(méi)有記錄ip。那么,開(kāi)搞吧。


安全事件日志

安全事件分析

先說(shuō)下我的環(huán)境,Windows Server 2012 R2,除了更換了3389的端口以外,沒(méi)有做任何安全配置。
其實(shí)第一眼,看到日志,我本以為是SMB(445),NETBIOS(135,139)這些服務(wù)的鍋,因?yàn)榘踩罩镜氖录蘒D為4625和4776。
前者的LogonProcessNameNtLmSsp,后者PackageNameMICROSOFT_AUTHENTICATION_PACKAGE_V1_0。

通過(guò)上面兩個(gè)關(guān)鍵詞,查到許多NtLm攻擊相關(guān)的文章(后面發(fā)現(xiàn)其實(shí)和這個(gè)沒(méi)關(guān)系...),我就先從SMB安全配置入手(絕招是直接關(guān)閉SMB,簡(jiǎn)單方便,讀者可不做下面的操作。但我想探究這次的攻擊究竟是怎樣的)。

關(guān)閉漏洞滿(mǎn)天飛的SMBv1

1、檢查SMBv1狀態(tài)的方法:
在Powershell中運(yùn)行命令:
Get-SmbServerConfiguration | Select EnableSMB1Protocol
如果打印“Ture”,則說(shuō)明SMBv1為開(kāi)啟狀態(tài)。
2、關(guān)閉SMBv1的方法
在power shell中運(yùn)行命令:
Set-SmbServerConfiguration -EnableSMB1Protocol $false

更多參考信息見(jiàn)微軟文檔

啟用SMB簽名

又因Freebuf的一篇Windows SMB請(qǐng)求重放攻擊分析,我決定再啟用SMB簽名。

將注冊(cè)表項(xiàng)"RequireSecuritySignature"設(shè)置為 1 可以啟用 SMB 簽名
可用powershell執(zhí)行
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" RequireSecureNegotiate -Value 1 –Force

通過(guò)策略組配置NTLM相關(guān)安全選項(xiàng)

對(duì)本地組策略->計(jì)算機(jī)配置->Windows設(shè)置->安全設(shè)置->安全選項(xiàng)中一些配置進(jìn)行了修改。
例如:

  1. 網(wǎng)絡(luò)安全: 限制 NTLM: 審核傳入 NTLM 流量 設(shè)置為 為所有帳戶(hù)啟用審核
  2. 網(wǎng)絡(luò)訪問(wèn): 不允許匿名枚舉 SAM 帳戶(hù) 設(shè)置為啟用

上述設(shè)置,我也不是非常清楚。這里就不展開(kāi)了。
注意:錯(cuò)誤的修改,可能會(huì)導(dǎo)致自身無(wú)法連接到服務(wù)器。
具體可看這篇文章保護(hù)內(nèi)網(wǎng)安全之提高Windows AD安全性

爆破依舊

進(jìn)行上述的修改后,安全事件日志還是嘩啦啦的警告,然后我一查看云服務(wù)器的安全組,我根本都沒(méi)有開(kāi)放445,139這類(lèi)的端口。然后我注意到了在應(yīng)用程序與服務(wù)日志中的Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational事件日志。

Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational

將信息級(jí)別的日志篩除后,得到了上圖的結(jié)果。嗐!原來(lái)還是RDP爆破啊。并且有來(lái)源ip了,來(lái),繼續(xù)。

RDP爆破防御

RDP爆破方式攻擊防控思路梳理

簡(jiǎn)單有效-策略組限制

通過(guò)上圖大佬的總結(jié),我優(yōu)先使用了策略組進(jìn)行配置,賬戶(hù)鎖定策略。這個(gè)配置也比較簡(jiǎn)單。運(yùn)行打開(kāi)gpedit.msc,按照下圖配置即可。

賬戶(hù)鎖定策略

但是配置后,即使等了一段時(shí)間后還是有大量的不同ip在進(jìn)行爆破嘗試。讓我甚至一度懷疑這里的ip都是通過(guò)什么漏洞偽造的。
并且因?yàn)槭褂昧嗽品?wù)商的安全組策略,為避免多余的麻煩,沒(méi)有開(kāi)啟windows防火墻,所以可能無(wú)法成功攔截?所以我只好繼續(xù)

wail2ban

wail2ban,linux中有個(gè)很好用的工具,叫做fail2ban,wail2ban算是它的windows版本,做的事情大致相同,從日志(事件)匹配并提取ip,進(jìn)行封禁。
Windows Server Wail2ban and Folder Sharing not working together - Error 4625 no IP
使用還是很簡(jiǎn)單的。

  1. 按照上面的介紹,需要在wail2ban.ps1增加為$EventTypes增加一個(gè)事件,即修改為$EventTypes = "Application,Security,System,Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational",
    $CHECK_COUNT用來(lái)控制嘗試次數(shù),默認(rèn)為5.
  2. 然后在wail2ban_config.ini中添加
[Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational]
140=RDP Logins
139=RDP Logins With Tls1.0

最后的139事件可不添加。后面會(huì)用到。

  1. 開(kāi)啟windows防火墻
    注意開(kāi)啟防火墻時(shí),如果不是默認(rèn)3389的默認(rèn)端口的話(huà),需要手動(dòng)添加入站規(guī)則。

配置好后的效果如下:


wail2ban

這樣一目了然的發(fā)現(xiàn),還真的都是不一樣的ip。
(并且似乎開(kāi)啟防火墻后,策略組的配置也生效了)

數(shù)據(jù)包分析

其實(shí)到此為止已經(jīng)差不多了,但是我想肯定還是服務(wù)器有什么地方配置的脆弱了,才會(huì)受到此次攻擊。我就想看看對(duì)方的RDP爆破和我正常的RDP連接有什么區(qū)別。
恩,Wireshark安裝!
因?yàn)橛玫搅薚LS層,我后面甚至還做了解密(不做也可以)。具體方式見(jiàn)如何使用Wireshark解密Windows遠(yuǎn)程桌面(RDP)協(xié)議
我的捕獲過(guò)濾器是 port 端口號(hào),顯示過(guò)濾器為not ip.addr eq 本機(jī)ip

爆破數(shù)據(jù)包

正常登陸包

可以看到他協(xié)議用的是Tlsv1, 而我自身使用的是Tlsv1.2。Tls 1.0也不少問(wèn)題,那么簡(jiǎn)單了,趕緊禁用Tls1.0吧。

禁用TLS1.0

  1. 策略組強(qiáng)制使用TLS(不好使)
    在策略組 計(jì)算機(jī)配置 \windows 組件 \ 遠(yuǎn)程桌面服務(wù)桌面會(huì)話(huà)安全中設(shè)置遠(yuǎn)程 (RDP) 連接要求使用特定的安全層為 TLS1.0。
    你可能很疑惑...說(shuō)好的不用1.0了,怎么你還強(qiáng)制1.0了。這個(gè)好像是微軟的顯示錯(cuò)誤T_T,不過(guò)經(jīng)我測(cè)試,的確也不好使...情況說(shuō)明見(jiàn)微軟文檔
  2. 通過(guò)注冊(cè)表禁用Tls1.0
    HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server項(xiàng)中新建一個(gè)名為Enabled的DWORD,值設(shè)置為0。
    為了避免不必要的麻煩,設(shè)置好后我進(jìn)行了重啟。

效果

禁用TLS1.0后,再去查看事件,發(fā)現(xiàn)已經(jīng)由原先的140事件,變?yōu)榱?39事件,描述為服務(wù)器安全層在協(xié)議流中檢測(cè)到一個(gè)錯(cuò)誤(0x80090304),并中斷了客戶(hù)端連接(客戶(hù)端 IP:45.145.64.5)。,攻擊方的一次嘗試也不能成功了!
wail2ban也可以繼續(xù)開(kāi)著,并且做一些配置,還可以防御更多的爆破事件。

最后我也照貓畫(huà)虎的來(lái)一次威脅情報(bào)IOC,下面的ip是本次攻擊事件中出現(xiàn)的。

193.106.30.234, 185.202.1.110, 113.65.153.144, 222.187.245.198, 202.146.219.27, 47.107.182.101, 43.248.186.80, 112.25.212.219, 111.40.223.9, 113.62.177.19, 185.202.1.105, 118.180.214.5, 37.71.141.162, 193.165.191.59, 45.145.67.173, 185.202.1.106, 185.202.1.113, 45.145.64.5, 185.202.1.103, 185.202.1.111, 106.52.138.52, 185.202.1.107, 193.106.29.82, 60.10.62.235, 121.151.155.170, 45.145.66.157, 185.202.1.148, 219.139.151.18, 223.78.106.25, 183.110.79.147, 58.120.225.117, 60.6.224.242, 185.202.1.109, 185.202.0.117, 117.146.37.90, 176.96.82.182, 220.179.227.205, 118.163.153.6, 60.167.165.166, 89.248.168.221, 58.120.225.122, 112.175.114.17, 218.6.9.84, 61.180.90.12, 223.99.164.133, 185.202.1.100, 185.202.1.96, 111.9.153.42, 60.22.91.240, 106.52.170.87, 185.202.1.104, 113.12.64.58, 36.99.161.37, 211.47.236.220, 185.202.1.102, 175.16.218.50, 180.168.74.70, 87.251.75.176, 222.178.239.184, 124.116.171.30, 142.11.249.99, 195.54.160.99

參考資料

Windows 2016 服務(wù)器安全配置和加固
windows 系統(tǒng)簡(jiǎn)單加固

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

友情鏈接更多精彩內(nèi)容