Изучая шифровальщики заметил, что вектором внешних атак часто является взлом через RDP. Я решил сделать эксперимент и выяснить, что будет если пробросить RDP через роутер, т.е. открыть доступ к компьютеру открыв RDP в роутере.
Еще по теме: Анализ вирусов в домашней лаборатории
Проброс порта RDP на роутере
В сети можно найти большое количество инструкций, о том, как пробросить RDP через роутер, но не одна из них не предупреждает о потенциальных рисках.
В начале я настроил RDP на компьютере, после чего настроил проброс 3389 порта на роутере. Пароль на RDP выбрал «gengirlrocks» из популярного словаря для брута паролей rockyou.txt.
Стоит отметить, что у меня динамической внешний IP-адрес, который меняется примерно каждые 72 часа — это важно при таких экспериментах.
Последствия проброса RDP на роутере
В начале нечего не происходило, я полез в Shodan проверить появился ли мой IP. Примерно через час, Shodan уже видел мой компьютер, а затем началось. Одновременно четыре подключения к порту 3389 и начались попытки перебора. Компьютер начал заметно тормозить из-за нагрузки.
После непрерывного потока попыток аутентификации злоумышленник проник в систему. Брут пароля занял примерно 14 часов. Я пошел спать оставив комп на 8 часов.
На следующий день, изучая логи и активность с помощью различных инструментов форензики, я обнаружил следующее. Через час, после успешного подбора пароля злоумышленник вручную, используя логин и пароль, вошел в систему.
После чего сразу же загрузил сканер и начал сканирование сети, в надежде найти другие компьютеры подключенные к локальной сети. Затем злоумышленник начал проверять конфигурацию системы, чтобы убедиться, что ноутбук присоединен к домену, но это оказалось не так.
Во время нахождения хакера в системе продолжались попытки брута RDP с других IP-адресов. Может быть для сокрытия успешного входа в систему, либо — брутили другие. После сканирования сети хакер начал копаться в файлах. Я намеренно разложил различные интересные файлы на рабочем столе и в папке «Документы».
Через 45 минут злоумышленник залил исполняемый файл программы-вымогателя. После чего все файлы на диске были зашифрованы, что изменило расширение файлов и добавило адрес электронной почты для связи с ним.
Безопасность RDP
Итак, что я узнал. По сути, открытый RDP примерно через час будет добавлен поисковыми ботами в базу данных хакерских поисковиков типа Shodan или Censys, а потом начнутся попытки взлома RDP. И если вы используете слабый пароль, компьютер будет взломан в течении суток.
Чему может научить нас данная история? Тому, что нельзя пробрасывать RDP (и другие чувствительные порты) через роутер, вдобавок используя слабые пароли. RDP — отличный инструмент, но он предназначен исключительно для использования в локальной защищенной сети!
Для анализа вредоносной активности использовался инструмент Logon Tracer.