RS232 book cover

Centrum Outlook Express Centrum Outlook Express

OE PowerTool 4.5.5


Twój adres IP to: 52.55.55.239
Przeglądarka: claudebot

Próby włamania na mój komputer - krótka analiza

   Pewnego dnia moją uwagę przykuło zwiększone obciążenie procesora, które na pierwszy rzut okna nie było uzasadnione (nie była włączona żadna wymagająca aplikacja). Rzut oka na Menedżer zadań ujawnił, że winowajcą są procesy winlogon.exe oraz LogonUI.exe.

Menedżer zadań

Trochę to dziwne, bo normalnie nie mają one za wiele do roboty, działają tylko w momencie logowania. A skoro to nie ja się loguję to znaczy, że ktoś inny się loguje, konkretnie przez usługę pulpitu zdalnego. netstat potwierdził moje podejrzenia.

netstat

Pozostało włączyć inspekcję logowania i spojrzeć jak idzie atakującemu.

Zasady zabezpieczeń lokalnych

W tym celu trzeba zajrzeć do Podglądu zdarzeń, do dziennika Zabezpieczenia. Interesują nas zdarzenia logowania, o identyfikatorze 4625. Windows odnotował u mnie 494 próby zalogowania w ciągu 38 minut. Atak trwał trochę dłużej, pewnie ok. godziny, nie od razu go zauważyłem.

Zasady zabezpieczeń lokalnych

Wśród kont, na które atakujący próbował się zalogować, były polskie imiona męskie i żeńskie, a także polskie słowa, które bywają używane jako nazwy kont, a także takie, które z niczym nie można skojarzyć i prawdę mówiąc nie wiem, czego atakujący się spodziewał używając ich. Co ciekawe atak pochodził z włoskiego IP. W bazie SANS można zobaczyć, że podobne ataki były już wykonywane z tego IP. Zerknąłem jeszcze na otwarte porty na atakującym hoście:

Starting Nmap 5.00 ( http://nmap.org ) at 2012-09-07 19:17 CEST
Interesting ports on host241-197-110-95.serverdedicati.aruba.it (95.110.197.241):
Not shown: 989 filtered ports
PORT      STATE SERVICE       VERSION
21/tcp    open  ftp           WarFTPd 1.82.00-RC13
80/tcp    open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
443/tcp   open  ssl/http      Apache httpd
3306/tcp  open  mysql         MySQL 5.5.17
3389/tcp  open  microsoft-rdp Microsoft Terminal Service
5357/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
8443/tcp  open  ssl/http      Apache httpd 2.2.21 ((Win32) mod_ssl/2.2.21 OpenSSL/1.0.0e PHP/5.3.8 mod_perl/2.0.4 Perl/v5.10.1)
49153/tcp open  msrpc         Microsoft Windows RPC
49155/tcp open  msrpc         Microsoft Windows RPC
49157/tcp open  msrpc         Microsoft Windows RPC
49160/tcp open  msrpc         Microsoft Windows RPC
Service Info: OS: Windows

Dodatkowo fingerprinting systemu operacyjnego dał dokładniejszą informację na temat wersji Windows:

Running: Microsoft Windows Vista
OS details: Microsoft Windows Vista Home Premium SP1

Mamy więc Vistę z włączonym zdalnym pulpitem, serwerem MySQL, serwerem FTP, Apache oraz jakąś usługą Microsoftu. Piszę jakąś, ponieważ nie udało mi się określić czy to SQL Server Reporting Services, Web Deployment Agent Service (MsDepSvc) czy może jednak coś związanego z SSDP/UPnP, jak podpowiada nmap. Na Apache chodzi VTE CRM. W każdym razie mamy do czynienia z dedykowanym serwerem wykupionym we włoskiej firmie hostingowej Aruba, na którym ktoś postawił sobie Vistę i testuje sobie różne rzeczy, a od czasu do czasu bawi się w ataki. Hm, ale czy to jest na pewno Vista? Instalacja Visty jako systemu serwerowego na dedykowanej maszynie jest trochę dziwna. Podłączmy się więc przez zdalny pulpit. Widzimy ekran logowania włoskiego Windows Server 2008.

Zdalny pulpit

nmap jednak tak bardzo się nie pomylił, zarówno Vista jak i 2008 bazują bowiem na tym samym jądrze i kodzie bazowym. 2008 to taka serwerowa Vista, podobnie jak 2008 R2 to serwerowa Siódemka. Oprócz wersji systemu widać także konta użytkowników.

Ataki typu brute force są na porządku dziennym i nie ma potrzeby się nimi specjalnie przejmować, o ile udostępniane przez nas usługi są chronione odpowiednio silnymi hasłami i nie posiadają niezałatanych dziur. Nie mam więc zamiaru jakoś specjalnie męczyć tego serwerka. Trzeba jednak docenić, że atakujący nie wykorzystał jakiegoś przypadkowego słownika, ale zauważając, że mój komputer jest w Polsce, próbował włamać się używając polskich słów. Być może te słowa, które dziwnie brzmiały jako nazwy kont, były efektem nieudolnego tłumaczenia z włoskiego :)