Les serveurs sont visés par des campagnes de piratage à travers Terminal Server (TSE) et RDP (Remote Desktop Protocol).
Souvent, il s’agit d’attaque brute-force tirant partie de comptes Windows mal sécurisés.
Cette page donne un aperçu de quelques piratages qui ont pu être effectués afin de sensibiliser les administrateurs au danger de Terminal Server.
Introduction
Terminal Server est un composant de Microsoft Windows (dans les versions clientes et serveur) qui permet à un utilisateur d’accéder à des applications et des données sur un ordinateur distant, via n’importe quel type de réseau. Son utilisation est optimisée sur des réseaux locaux (Local Area Network) ou régionaux Metropolitan Area Network, fournissant des meilleurs latences et débits que des réseaux plus larges comme Internet.
Si ce service est mal sécurisé et accessible par internet, un attaquant peut prendre la main sur le serveur et effectuer différentes opérations.
En 2013, avant l’ère des crypto-Ransomwares, sur le forum un long sujet concernant des attaques sur des serveurs ont eu lieu à travers ce service, il s’agissait du Ransomware OMG, voir : La fiche du Ransomware OMG.
A partir de fin 2015, ces attaques se sont intensifiées.
Il s’agit d’attaque brute-force, énumérer les utilisateurs Windows et tenter de se connecter à travers des tentatives successives de mot de passe.
Si un compte Windows est présent avec un mot de passe faible, l’attaquant pourra se connecter au serveur et aura la main dessus.
Des outils facilitant ces attaques sont vendus par des groupes, plus d’informations sur ce business : Business malwares : le Pourquoi des infections informatique
Honeypot
Avec les attaques SMB, j’ai mis en place un honeypot, pour voir ce qui se passe.
Il s’agit de VPS avec des règles de redirectons de ports qui redirigent vers une machine virtuelle (VM).
Sur cette VM, se trouve l’accès du bureau à distance et aussi SMB.
Enfin, un utilisateur Windows admin avec le mot de passe admin est présent.
Le tout sur un Windows 7 64-bits (pas un Windows serveur, à cause de la vulnérabilité MS17-010 qui n’est pas exploitée dessus).
Ver Morto
Le worm (ver informatique) Morto est un ver de 2011 qui se propage par RDP.
Le ver effectue des attaques brute-force sur les comptes administrateur.
Si un compte est trouvé et capable de se connecter le ver s’installe et utilise ensuite le serveur pour effectuer d’attaques RDP brute-force.
Cela n’est donc pas très discret et on peut voir un balaie des processus systèmes Windows csrss.exe, winlogon.exe et LogonUI.exe.
Pour se faire, le ver Morto écrit un fichier \\tsclient\a\ chargé par le processus rundll.exe
Ransomware
Comme évoqué dans l’introduction, des campagnes de rançongiciels ont aussi lieu.
La famille BandarChor / Criakl / Rakhni (Crypto-Ransomware) avec des extensions .XTBL a été particulièrement active.
Pas besoin de vous faire une idée des dégâts, si les fichiers du serveur de fichiers sont chiffrés et qu’aucune sauvegarde n’est présente.
Voici quelques captures d’écran, de ransomwares qui ont été installés sur le honeypot.
Les notices de paiement avec les messages “Your files are encrypted!”
2 BT pour le paiement avec une adresse en @india.com.
2 bitcoin, cela fait environ 4500 euros, ce qui est relativement élevé pour un ransomware. D’habitude cela tourne plutôt autour de 500 $.
En dernier, le ransomware .onion, une fiche a été créée…
et le lendemain, une victime sur le forum en Windows Serveur 2012 : Ransomwares fichier en .onion
Protéger la désactivation de l’antivirus par un mot de passe peut aider à limiter la casse, même si étant connecté en administrateur, il est possible d’endommager ce dernier.
Cela ne règle pas le problème de sécurité en amont.
Autres piratages
Parmi les autres piratages, des modifications d’utilisateurs Windows.
Certains pirates ne s’embêtent pas et rasent tous les utilisateurs Windows pour en créer des nouveaux.
Le but étant de garder la main, seul, sur le serveur à partir d’utilisateur Windows seulement connus d’eux.
Parfois, c’est discret, parfois non.
ou encore utiliser le serveur pour effectuer d’autres attaques ou scan.
Ici le piratage installe un scanneur SMTP qui effectue aussi des bruteforces et autres.
Sécuriser l’accès Terminal Server
TSE est donc particulièrement visé, c’est donc un service réseau qu’il faut sécuriser.
Voici les conseils pour sécuriser sa connexion Terminal Server, qui peuvent généraliser à la plupart des services réseaux.
Dans la mesure du possible, ne laissez pas l’accès Terminal Server accessible par internet :
- Un accès par un VPN est conseillé que d’un accès direct par internet
- A défaut, filtrer les IP sources avec un pare-feu / firewall.
Gérer vos comptes Windows correctement, supprimer les comptes inutilisés.
Laissez les GPO qui forcent les mots de passe forts activées, plus d’informations : https://technet.microsoft.com/fr-fr/library/hh994562(v=ws.11).aspx
Éventuellement, activez NLA (Network Level Authentication).
Autre liens autour du piratage et hack
Quelques liens autour du piratage et hack :