Próby włamania na mój komputer - krótka analiza
Pewnego dnia moją uwagę przykuło zwiększone obciążenie procesora, które na pierwszy rzut okna nie było uzasadnione (nie była włączona żadna wymagająca aplikacja).
Rzut oka na Menedżer zadań ujawnił, że winowajcą są procesy winlogon.exe oraz LogonUI.exe.
Trochę to dziwne, bo normalnie nie mają one za wiele do roboty,
działają tylko w momencie logowania. A skoro to nie ja się loguję to znaczy, że ktoś inny się loguje, konkretnie przez usługę pulpitu zdalnego. netstat potwierdził moje
podejrzenia.
Pozostało włączyć inspekcję logowania i spojrzeć jak idzie atakującemu.
W tym celu trzeba zajrzeć do Podglądu zdarzeń, do dziennika Zabezpieczenia. Interesują nas zdarzenia logowania, o identyfikatorze 4625. Windows odnotował
u mnie 494 próby zalogowania w ciągu 38 minut. Atak trwał trochę dłużej, pewnie ok. godziny, nie od razu go zauważyłem.
Wśród kont, na które atakujący próbował się zalogować, były polskie imiona męskie i żeńskie, a także polskie słowa, które bywają używane jako nazwy kont, a także takie,
które z niczym nie można skojarzyć i prawdę mówiąc nie wiem, czego atakujący się spodziewał używając ich. Co ciekawe atak pochodził z włoskiego IP.
W
bazie SANS można zobaczyć, że podobne ataki były już wykonywane z tego IP. Zerknąłem
jeszcze na otwarte porty na atakującym hoście:
Starting Nmap 5.00 ( http://nmap.org ) at 2012-09-07 19:17 CEST
Interesting ports on host241-197-110-95.serverdedicati.aruba.it (95.110.197.241):
Not shown: 989 filtered ports
PORT STATE SERVICE VERSION
21/tcp open ftp WarFTPd 1.82.00-RC13
80/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
443/tcp open ssl/http Apache httpd
3306/tcp open mysql MySQL 5.5.17
3389/tcp open microsoft-rdp Microsoft Terminal Service
5357/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
8443/tcp open ssl/http Apache httpd 2.2.21 ((Win32) mod_ssl/2.2.21 OpenSSL/1.0.0e PHP/5.3.8 mod_perl/2.0.4 Perl/v5.10.1)
49153/tcp open msrpc Microsoft Windows RPC
49155/tcp open msrpc Microsoft Windows RPC
49157/tcp open msrpc Microsoft Windows RPC
49160/tcp open msrpc Microsoft Windows RPC
Service Info: OS: Windows
Dodatkowo fingerprinting systemu operacyjnego dał dokładniejszą informację na temat wersji Windows:
Running: Microsoft Windows Vista
OS details: Microsoft Windows Vista Home Premium SP1
Mamy więc Vistę z włączonym zdalnym pulpitem, serwerem MySQL, serwerem FTP, Apache oraz jakąś usługą Microsoftu. Piszę jakąś, ponieważ nie udało mi się
określić czy to SQL Server Reporting Services, Web Deployment Agent Service (MsDepSvc) czy może jednak coś związanego z SSDP/UPnP, jak podpowiada nmap. Na Apache chodzi
VTE CRM. W każdym razie mamy do czynienia z dedykowanym serwerem wykupionym we włoskiej firmie hostingowej Aruba, na którym ktoś postawił sobie Vistę i testuje
sobie różne rzeczy, a od czasu do czasu bawi się w ataki. Hm, ale czy to jest na pewno Vista? Instalacja Visty jako systemu serwerowego na dedykowanej maszynie
jest trochę dziwna. Podłączmy się więc przez zdalny pulpit. Widzimy ekran logowania włoskiego Windows Server 2008.
nmap jednak tak bardzo się nie pomylił, zarówno Vista
jak i 2008 bazują bowiem na tym samym jądrze i kodzie bazowym. 2008 to taka serwerowa Vista, podobnie jak 2008 R2 to serwerowa Siódemka.
Oprócz wersji systemu widać także konta użytkowników.
Ataki typu brute force są na porządku dziennym i nie ma potrzeby się nimi specjalnie przejmować, o ile udostępniane przez nas usługi są chronione
odpowiednio silnymi hasłami i nie posiadają niezałatanych dziur. Nie mam więc zamiaru jakoś specjalnie męczyć tego serwerka. Trzeba jednak docenić,
że atakujący nie wykorzystał jakiegoś przypadkowego słownika, ale zauważając, że mój komputer jest w Polsce, próbował włamać się używając polskich słów.
Być może te słowa, które dziwnie brzmiały jako nazwy kont, były efektem nieudolnego tłumaczenia z włoskiego :)