#RedTeaming Establishing a RDP Protocol
در سالهای اخیر استفاده از پروتکل #RDP برای دسترسی به دسکتاپ قربانی پلن خوبی در خصوص کنترل سیستم عامل مطرح بوده,
مثلا در این سناریو تصویر پست اتفاقی که می افته اینه که بعد از نصب بکدور به واسطه یک ایمیل فیشینگ رمزهای ورود سیستم عامل دزدیده میشه و در پلن بعد یک #VPN تونل به سرور C&C هکر زده میشه که اینجا هکر ارتباطش رو با قربانی برقرار میکنه,
اما هکر با استفاده از دزدیده شدن رمز سیستم عامل در همون لایه تونل VPN میاد و ریموت دسکتاپ میزنه به سیستم عامل قربانی و در اولین حرکت خودش اقدام به سرشماری میزبان های سرویس Active Directory میکنه که متوجه یک Domain Controller میشه,
نکته جالب اینه که mimikatz اطلاعات ادمین IT که برای عیب یابی به سیستم قربانی لاگین کرده هم استخراج شده, و بدین ترتیب هکر به سیستم های دیگه سرویس AD ریموت دسکتاپ میزنه و تمام,
گرفتن دسترسی صرفاً به معنی موفقیت یک نفوذ نخواهد بود بلکه هکر باید از بین تکنیک های بیشمار MITRE ATT&CK روش های خلاقانه تری برای به سرانجام رسیدن انتخاب کنه...
Reference
@Unk9vvN
در سالهای اخیر استفاده از پروتکل #RDP برای دسترسی به دسکتاپ قربانی پلن خوبی در خصوص کنترل سیستم عامل مطرح بوده,
مثلا در این سناریو تصویر پست اتفاقی که می افته اینه که بعد از نصب بکدور به واسطه یک ایمیل فیشینگ رمزهای ورود سیستم عامل دزدیده میشه و در پلن بعد یک #VPN تونل به سرور C&C هکر زده میشه که اینجا هکر ارتباطش رو با قربانی برقرار میکنه,
اما هکر با استفاده از دزدیده شدن رمز سیستم عامل در همون لایه تونل VPN میاد و ریموت دسکتاپ میزنه به سیستم عامل قربانی و در اولین حرکت خودش اقدام به سرشماری میزبان های سرویس Active Directory میکنه که متوجه یک Domain Controller میشه,
نکته جالب اینه که mimikatz اطلاعات ادمین IT که برای عیب یابی به سیستم قربانی لاگین کرده هم استخراج شده, و بدین ترتیب هکر به سیستم های دیگه سرویس AD ریموت دسکتاپ میزنه و تمام,
گرفتن دسترسی صرفاً به معنی موفقیت یک نفوذ نخواهد بود بلکه هکر باید از بین تکنیک های بیشمار MITRE ATT&CK روش های خلاقانه تری برای به سرانجام رسیدن انتخاب کنه...
Reference
@Unk9vvN
#RDP #Hardening #Windows #Servers
در صورتی که نیاز به مقاوم سازی پروتکل RDP دارید میتونید از اسکریپت زیر استفاده کنید که در سطح متوسط و بدون نیاز به برنامه جانبی، مقاوم سازی هایی رو روی هر نسخه ای از ویندوز سرور میتونه انجام بده که بسیاری از حملات رو پیش گیری میتونه که مواردیش رو زیر اشاره کردیم.
1.اعمال سیاستهای امنیتی هستهای RDP
2.سختسازی پروتکلهای TLS/SSL
3.مقاومسازی NTLM و CredSSP
4.کاهش قابلیت Fingerprinting سرویس RDP
5.کنترل و محدودسازی زمان نشستهای RDP
6.اعمال سیاستهای قفل حساب کاربری و رمز عبور
7.محرومسازی حساب Administrator داخلی از دسترسی RDP
8.پیکربندی پیشرفته ثبت رویدادهای RDP
9.پیادهسازی مکانیزم مقابله با حملات Brute-Force مشابه Fail2Ban
10.ایجاد خودکار حساب کاربری RDP در صورت نیاز
11.فعال سازی دیواره آتش سیستم عامل
این اسکریپت کاربر پیشفرض Administrator رو غیر فعال کرده و یک کاربر در گروه Remote Desktop Users با سطح دسترسی ادمین بطور تصادفی ساخته و تحویل شما میده تا با نام کاربری و رمز منحصر به فرد خود متصل شوید.
gist.github.com/a9v8i/ab68729babf9614c141cec328ac5ac86
@Unk9vvN
در صورتی که نیاز به مقاوم سازی پروتکل RDP دارید میتونید از اسکریپت زیر استفاده کنید که در سطح متوسط و بدون نیاز به برنامه جانبی، مقاوم سازی هایی رو روی هر نسخه ای از ویندوز سرور میتونه انجام بده که بسیاری از حملات رو پیش گیری میتونه که مواردیش رو زیر اشاره کردیم.
1.اعمال سیاستهای امنیتی هستهای RDP
2.سختسازی پروتکلهای TLS/SSL
3.مقاومسازی NTLM و CredSSP
4.کاهش قابلیت Fingerprinting سرویس RDP
5.کنترل و محدودسازی زمان نشستهای RDP
6.اعمال سیاستهای قفل حساب کاربری و رمز عبور
7.محرومسازی حساب Administrator داخلی از دسترسی RDP
8.پیکربندی پیشرفته ثبت رویدادهای RDP
9.پیادهسازی مکانیزم مقابله با حملات Brute-Force مشابه Fail2Ban
10.ایجاد خودکار حساب کاربری RDP در صورت نیاز
11.فعال سازی دیواره آتش سیستم عامل
این اسکریپت کاربر پیشفرض Administrator رو غیر فعال کرده و یک کاربر در گروه Remote Desktop Users با سطح دسترسی ادمین بطور تصادفی ساخته و تحویل شما میده تا با نام کاربری و رمز منحصر به فرد خود متصل شوید.
gist.github.com/a9v8i/ab68729babf9614c141cec328ac5ac86
@Unk9vvN