Вот что произойдет если пробросить RDP через роутер

Проброс RDP через роутер безопасность

Изучая шифровальщики заметил, что вектором внешних атак часто является взлом через RDP. Я решил сделать эксперимент и выяснить, что будет если пробросить RDP через роутер, т.е. открыть доступ к компьютеру открыв RDP в роутере.

Еще по теме: Анализ вирусов в домашней лаборатории

Проброс порта RDP на роутере

В сети можно найти большое количество инструкций, о том, как пробросить RDP через роутер, но не одна из них не предупреждает о потенциальных рисках.

Не повторяйте дома! Я делал это в тестовой сети, с одним подключенным и специально подготовленным для этой цели компьютером.

В начале я настроил RDP на компьютере, после чего настроил проброс 3389 порта на роутере. Пароль на RDP выбрал «gengirlrocks» из популярного словаря для брута паролей rockyou.txt.

Стоит отметить, что у меня динамической внешний IP-адрес, который меняется примерно каждые 72 часа — это важно при таких экспериментах.

Последствия проброса RDP на роутере

В начале нечего не происходило, я полез в Shodan проверить появился ли мой IP. Примерно через час, Shodan уже видел мой компьютер, а затем началось. Одновременно четыре подключения к порту 3389 и начались попытки перебора. Компьютер начал заметно тормозить из-за нагрузки.

После непрерывного потока попыток аутентификации злоумышленник проник в систему. Брут пароля занял примерно 14 часов. Я пошел спать оставив комп на 8 часов.

На следующий день, изучая логи и активность с помощью различных инструментов форензики, я обнаружил следующее. Через час, после успешного подбора пароля злоумышленник вручную, используя логин и пароль, вошел в систему.

После чего сразу же загрузил сканер и начал сканирование сети, в надежде найти другие компьютеры подключенные к локальной сети. Затем злоумышленник начал проверять конфигурацию системы, чтобы убедиться, что ноутбук присоединен к домену, но это оказалось не так.

Во время нахождения хакера в системе продолжались попытки брута RDP с других IP-адресов. Может быть для сокрытия успешного входа в систему, либо — брутили другие. После сканирования сети хакер начал копаться в файлах. Я намеренно разложил различные интересные файлы на рабочем столе и в папке «Документы».

Через 45 минут злоумышленник залил исполняемый файл программы-вымогателя. После чего все файлы на диске были зашифрованы, что изменило расширение файлов и добавило адрес электронной почты для связи с ним.

Безопасность RDP

Итак, что я узнал. По сути, открытый RDP примерно через час будет добавлен поисковыми ботами в базу данных хакерских поисковиков типа Shodan или Censys, а потом начнутся попытки взлома RDP. И если вы используете слабый пароль, компьютер будет взломан в течении суток.

Чему может научить нас данная история? Тому, что нельзя пробрасывать RDP (и другие чувствительные порты) через роутер, вдобавок используя слабые пароли. RDP — отличный инструмент, но он предназначен исключительно для использования в локальной защищенной сети!

Для анализа вредоносной активности использовался инструмент Logon Tracer.

ВКонтакте
OK
Telegram
WhatsApp
Viber

Добавить комментарий

Ваш адрес email не будет опубликован.