Всем привет. Это не мануал а лишь рассказ о интересном событии, произошедшем при попытке "посетить" сеть. Полезно для новичков.
Прошу "знающих" людей высказать свои мысли касательно статьи. Как вы думаете, что именно это может быть?
Буквально пару дней назад мне сообщил доверенный человек, что посетил удивительную сеть. По его словам, подключившись к RDP он обнаружил на рабочем столе обои с требованием выкупа и несколько запущенных консольных утилит на рабочем столе, которые через секунду с момента входа начали активно что-то выводить в консоль. Это происходило в течении нескольких секунд после чего его принудительно отключило от удаленного рабочего стола и удивительно, что при попытке повторного подключения RDP вновь предложил ему принять сертификат. Насколько я знаю, принятый сертификат имеет срок работоспособности и повторный вход в этот же момент не требует принимать его снова.
Мое мнение таково,что это какой-то интересный вид Honeypot (Wiki)
Нет оснований полагать, что данное событие является доказательством, что на вооружении IB специалистов используется такой инструмент, но имеет право быть.
Изначально, задача данного инструмента проста, фиксировать все происходящее на специально-уязвимом ресурсе чтобы понять, как именно хакеры атакуют сеть. Его главное качество в том что он незаметен при работе, в нашем же случае, инструменты не пытались скрыть свое существование.
Скорее, это нельзя звать ханипотом. Это определенная модификация направленная на иные задачи, несложно догадаться, оно пытается получить максимум информации о посетителе.
Есть ли основания у специалистов прибегать к таким программам? Да, есть. Скорее всего они рассчитывают, что злоумышленник после атаки посетит сеть чтобы проверить, все ли произошло так, как он ожидает и не пытается ли жертва восстановить свой ресурс с бекапов.
Давайте попробуем разобраться, какая информация передается от вас при подключении к RDP:
Стандартый пакет логов, которые администратор проверит при подозрительной активности.
Это лишь "стандартный" пакет логов которые интересуют администратора и мы не можем точно знать, что именно фиксирует данный инструмент.
Но и такого количества достаточно для последствий, если ваша анонимность хромает.
Стоит брать в расчет, что не известно, что именно выполняется при подключении, так-как свидететь события сообщил о большом количестве информации, которая последовательно выводилась в консолях.
Считаю, что данного материала хватит, чтобы вы задумались о последствиях и анонимности.
На соседнем форуме нашел bat скрипт для очистки логов, протестировал - актуален как никогда.
все просто, запускаем bat на RDP и выходим. Скрипт через 10 секунд начнет очистку логов, после чего самоуничтожается. По времени очистка занимает от 10 секунд.
Сохраните код из txt документа в закрепе в формате .bat
Прошу "знающих" людей высказать свои мысли касательно статьи. Как вы думаете, что именно это может быть?
Буквально пару дней назад мне сообщил доверенный человек, что посетил удивительную сеть. По его словам, подключившись к RDP он обнаружил на рабочем столе обои с требованием выкупа и несколько запущенных консольных утилит на рабочем столе, которые через секунду с момента входа начали активно что-то выводить в консоль. Это происходило в течении нескольких секунд после чего его принудительно отключило от удаленного рабочего стола и удивительно, что при попытке повторного подключения RDP вновь предложил ему принять сертификат. Насколько я знаю, принятый сертификат имеет срок работоспособности и повторный вход в этот же момент не требует принимать его снова.
Мое мнение таково,что это какой-то интересный вид Honeypot (Wiki)
Нет оснований полагать, что данное событие является доказательством, что на вооружении IB специалистов используется такой инструмент, но имеет право быть.
Изначально, задача данного инструмента проста, фиксировать все происходящее на специально-уязвимом ресурсе чтобы понять, как именно хакеры атакуют сеть. Его главное качество в том что он незаметен при работе, в нашем же случае, инструменты не пытались скрыть свое существование.
Скорее, это нельзя звать ханипотом. Это определенная модификация направленная на иные задачи, несложно догадаться, оно пытается получить максимум информации о посетителе.
Есть ли основания у специалистов прибегать к таким программам? Да, есть. Скорее всего они рассчитывают, что злоумышленник после атаки посетит сеть чтобы проверить, все ли произошло так, как он ожидает и не пытается ли жертва восстановить свой ресурс с бекапов.
Давайте попробуем разобраться, какая информация передается от вас при подключении к RDP:
Стандартый пакет логов, которые администратор проверит при подозрительной активности.
- Network Connection
Network Connection: – установление сетевого подключение к серверу от RDP клиента пользователя. Событие с EventID – 1149 (Remote Desktop Services: User authentication succeeded). Наличие этого события не свидетельствует об успешной аутентификации пользователя. Этот журнал находится в разделе Applications and Services Logs -> Microsoft -> Windows -> Terminal-Services-RemoteConnectionManager -> Operational. В данных логах ранится IP адрес пользователя, который совершил подключение.
- Authentication
Authentication: – успешная или неуспешная аутентификация пользователя на сервере. Журнал Windows -> Security. Именно тут и находятся решения позволяющие предотвратить бтуп пароля к RDP.
- Logon
RDP вход в систему, событие появляющееся после успешной аутентификации пользователя. Событие с EventID – 21 (Remote Desktop Services: Session logon succeeded). Этот журнал находится в разделе Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational. Как вы видите здесь можно узнать идентификатор RDP сессии для пользователя — Session ID. Именно этот индификатор позволяет легко отслеживать последующие действия пользователя. Есть исключение, при повторном переподключении тот-же пользователь получает новый индификатор.
- Session Disconnect/Reconnect
события отключения / переподключения к сессии имеют разные коды в зависимости от того, что вызвало отключение пользователя (отключение по неактивности, выбор пункта Disconnect в сессии, завершение RDP сессии другим пользователем или администратором и т.д.). Эти события находятся в разделе журналов Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational.
- Logoff
выход пользователя из системы. При этом в журнале Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational фиксируется событие с EventID 23 (Remote Desktop Services: Session logoff succeeded).
Это лишь "стандартный" пакет логов которые интересуют администратора и мы не можем точно знать, что именно фиксирует данный инструмент.
Но и такого количества достаточно для последствий, если ваша анонимность хромает.
Стоит брать в расчет, что не известно, что именно выполняется при подключении, так-как свидететь события сообщил о большом количестве информации, которая последовательно выводилась в консолях.
Считаю, что данного материала хватит, чтобы вы задумались о последствиях и анонимности.
На соседнем форуме нашел bat скрипт для очистки логов, протестировал - актуален как никогда.
все просто, запускаем bat на RDP и выходим. Скрипт через 10 секунд начнет очистку логов, после чего самоуничтожается. По времени очистка занимает от 10 секунд.
Сохраните код из txt документа в закрепе в формате .bat
Последнее редактирование:
