作者adearlover (阿眼)
看板MIS
標題[心得] 公司的RDP主機中鏢了
時間Sat Aug 31 20:19:18 2019
公司的Win2008 R2 RDP主機在8/26被駭入,被駭的至少有三個網域帳號
帳號以往都會設定登入時自動掛載網路磁碟機連接到檔案伺服器
8/26早上6:40就有來自葡萄牙的IP(82.102.21.212)用被駭的網域帳號登入此RDP主
機,並執行一個名為AntiRecuvaAndDB.exe的程式來加密各磁碟區下有寫入權限的檔案
(當時看到工作管理員中出現這一處理程序)
導致檔案伺服器下此帳號有權限能寫入的檔案都被加密,約佔全部檔案的30%
被加密的檔案有出現含有駭客e-mail的副檔名字串
https://i.imgur.com/5JjsZtH.jpg
不過並沒有發現在各加密資料夾下有匯款說明文字檔
還好檔案伺服器每天都有做備份,確定無安全疑慮就將檔案倒回去了
在被駭前此RDP主機有在內建的windows防火牆RDP規則中做設定
只有限定某幾個外部信任IP才能連入遠端桌面服務
且也有用以外的幾個外部IP做測試證實是會被擋掉的
微軟五月公布的RDP漏洞安全更新也已經安裝,但八月的更新還未做
不過內建防火牆顯然沒有發生作用,沒能擋下這些白名單以外的IP
懷疑是否被用RDP漏洞開採了
駭客還上傳了一些工具,應是用來取得目前登入該主機的帳號密碼
被駭的三個帳號資料夾下都有這些檔案
https://i.imgur.com/O44L4WV.jpg
目前作法是在Router上針對RDP主機設定外部IP存取白名單
將被駭帳號停用,並刪除user profile資料夾
將能登入到RDP主機的帳號設定到最少,且這些帳號不再自動掛載磁碟機
關於在Server端是否還有哪些安全措施必須做、建議做的呢?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.239.202.50 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/MIS/M.1567253960.A.F24.html
1F:推 sssxyz: 可以找xdr的廠商去poc一下.... 08/31 21:23
2F:→ slash66: RDP不要對外,要連建議用VPN的方式比較好 08/31 21:47
3F:→ alphanet: 到底為什麼要開RDP對外???? 08/31 22:09
4F:推 ZenFoneX: 換Server2019吧,安全性好很多 08/31 22:24
5F:推 ddoll288: 主機防火牆其實沒有想像中的安全,這就是為什麼要買實體 09/01 00:48
6F:→ ddoll288: 防火牆的原因.常看到明明設了防火牆還是被入侵的case 09/01 00:48
7F:→ ddoll288: windows,Linux都有,因為誰知道漏洞是在誰身上? 09/01 00:50
8F:→ ddoll288: OS本身?防火牆?對外服務?還有就是現在看到的漏洞是發現 09/01 00:51
9F:→ ddoll288: 並修補後才公開的漏洞,那沒公開的不就....?? 09/01 00:52
10F:→ ddoll288: 駭客發現漏洞沒必要公開吧?這樣就少了入侵的路,很不方便 09/01 00:54
11F:→ ddoll288: 如果有對外服務,請買硬體防火牆,至少入侵異質系統還是難 09/01 00:56
12F:→ ddoll288: x86的code丟arm還跑得動嗎? 哈哈 09/01 00:57
其實這台RDP主機也不算直接對外,也是在router後面
只是有開port re-direct,而且也把原本的RDP port 3389改了
不過還是被駭,看來還是用VPN會比較安全
※ 編輯: adearlover (114.33.57.71 臺灣), 09/01/2019 07:54:29
13F:→ Klauhal: 駭客要攻擊就是port全掃,改port沒什麼用... 09/01 08:45
14F:推 goodga: 這樣就等於直接對外啊 駭客都掃ip跟all ports 09/01 09:29
15F:→ dennisxkimo: 對內也是要防啊,哪個不長眼的中毒,通常低成本管理 09/01 10:50
16F:→ dennisxkimo: ,內部防禦力很低 09/01 10:50
17F:→ dennisxkimo: 被rdp掃try,沒成功前事件監視器有跡可循 09/01 10:55
18F:→ dennisxkimo: 每次看到提醒客戶,大概提醒好幾季,直到被勒索挖礦 09/01 10:56
19F:→ dennisxkimo: 為止 09/01 10:56
20F:→ dennisxkimo: 我覺得挖礦很良心,通常沒什麼資料損失,近年怕很快 09/01 10:58
21F:→ dennisxkimo: 被發現大概鎖在cpu 50~60% 09/01 10:58
22F:推 Wishmaster: 當然不能滿載,滿載你更快會發現...傻傻der 09/01 11:19
23F:→ dennisxkimo: 早期的是滿載的,很快被就通報了,挖礦是要穩定偷偷 09/01 12:20
24F:→ dennisxkimo: 來不被發現,勒索是強盜,挖礦是毛賊 09/01 12:20
25F:→ dennisxkimo: 所以會有些為了不被發現的改進也不意外就是了 09/01 12:20
26F:→ dennisxkimo: 不過真的看過雙E5處理器主機被滿載挖了一年以上的案 09/01 12:22
27F:→ dennisxkimo: 例 09/01 12:22
28F:→ dennisxkimo: 被挖的就是忍受系統效能不好的狀況下持續一年 09/01 12:23
29F:→ konkonchou: 一般會建立其他專用帳號,限制只能執行特定程式,其他 09/01 12:55
30F:→ konkonchou: 什麼都不能作,不然還是建議走VPN 09/01 12:55
31F:推 gogohc: Rdp浮在Internet ... 09/01 13:40
32F:推 Lawrancechan: 架個novnc 過個水 再freerdp 安全又web 很方便 09/01 22:35
33F:推 chemi0213: 有備份可以倒 推一個 09/02 00:21
34F:→ TPPCMAN: 有遇過 有繳贖金 09/02 11:05
35F:推 lusaka: 希望34樓的苦主,可以分享過程讓mis的各位有所成長 09/02 17:21
36F:推 laikyo: 遇過,被放門羅挖礦。 09/02 19:32
這幾天為file server建立了一個NAS異地備份,做為第二個資料備份
主機被駭環境可以重建,但file server被加密又沒有備份,那可就是晴天霹靂了
前幾天衛福部的醫療所主機也被駭進而導致多台主機資料被加密
雖沒說是透過哪種方式,不過還是藉此提醒IT雜工們最近得多花點心思在資安上了
※ 編輯: adearlover (114.33.57.71 臺灣), 09/03/2019 02:19:19
37F:→ dennisxkimo: 小心NAS也被攻 備份快照跟定期離線媒體副本還是要做 09/03 16:41
38F:→ dennisxkimo: 看過Server跟NAS全中的 09/03 16:43
39F:→ zbug: 看過 FileServer 不設權限,工讀生也能看到財務或人資的資料 09/03 17:41
40F:→ zbug: 問過老闆,老闆說 相信員工 不該防員工,都給看也沒差 09/03 17:42
41F:→ zbug: 但是,不是看的問題,是也有刪除的權限... 09/03 17:42
42F:→ blackhippo: 樓上遇到那麼佛系的老闆還不趕快逃... 09/03 20:57
43F:→ JamesGO: 等被誤刪了可能就不佛了.... 09/04 03:53
44F:→ zbug: 已經逃了,所以現在失業中...該公司還是上市上櫃勒 = =a 09/04 07:11
45F:推 lusaka: 既然是佛系老闆,應該更要要求經費規劃,逃了有用嗎 09/04 09:04
46F:→ changmary: vpn再rdp比較好吧,雙重認證 09/04 19:19
47F:→ zbug: 如果有資訊預算...我又何必逃 XDDD 09/04 20:02
48F:推 lusaka: 只有讓老闆痛過,而你能撐過那個痛,你就有預算了, 09/05 00:49
49F:→ lusaka: 不過這個要看運氣了 09/05 00:50
50F:→ zbug: FileServer Raid5,沒備份排程也沒備份空間 09/05 06:48
51F:→ zbug: 老闆問說:會容易壞嗎?就賭賭看,撐到公司有多的預算吧 09/05 06:49
52F:→ zbug: 我只好弄一顆4T外接硬碟,用簡易的批次檔方式跑備份 09/05 06:50
53F:→ zbug: 某天,主機板掛了,老闆說:好險你有備份.... 09/05 06:51
54F:→ zbug: 之後,也沒買新的主機,直接拿汰換的一般桌機當 FileServer 09/05 06:53
55F:推 lusaka: 慘...果然很佛心, 09/05 08:56
56F:→ asdfghjklasd: 很多是靠人的能力去撐的 09/05 09:47
57F:→ dennisxkimo: 老闆後悔…當初用pc+備份就好XD 09/05 14:21
58F:推 zbug: 我才真的佛心,那顆4T外接硬碟還是我私人買的,就是怕出事 09/05 15:08
59F:→ zbug: 結果真的出事,老闆還問我,是不是故意把它弄壞的... 09/05 15:08
60F:→ zbug: 通常會離開一份工作,不會只是單單預算問題,還有心累了 XDD 09/05 15:10
61F:→ dennisxkimo: 如果我老闆這樣問我 我應該馬上辭呈 09/05 22:15
62F:→ lusaka: 如果老闆這樣問,肯定是要離職,因為這個環境對妳的信任度 09/06 11:02
63F:→ lusaka: 就是問號了 09/06 11:02
64F:推 roseson11: 不是有遠端管理工具,幹嘛還用RDP? vpn+rsat就可以達 09/10 00:35
65F:→ roseson11: 成! 09/10 00:35