none
Взломали сервер, создали нового администратора. Как? RRS feed

  • Вопрос

  • Взломали сервер. Создали нового пользователя, добавили ему права администратора и пользователя удаленного рабочего стола и зашли через RDP.

    Когда я создаю пользователя, то в журнале видно, что учетная запись создается под моим именем, а в данном случае не видно.

    Какие варианты такого создания существуют и как защититься?

    Привожу строку журнала где первый раз встречается вражеское имя:

    Добавлен член глобальной группы с включенной безопасностью.

    Субъект:
    Идентификатор безопасности: система
    Имя учетной записи: SERVER2012$
    Домен учетной записи: WORKGROUP
    Идентификатор входа: 0x3e7

    Член:
    Идентификатор безопасности: SERVER2012\Kali
    Имя учетной записи: -

    Группа:
    Идентификатор безопасности: SERVER2012\None
    Имя группы: None
    Домен группы: SERVER2012

    Дополнительные сведения:
    Привилегии: -

    - System 

      - Provider 

       [ Name]  Microsoft-Windows-Security-Auditing 
       [ Guid]  {54849625-5478-4994-A5BA-3E3B0328C30D} 
     
       EventID 4728 
     
       Version 0 
     
       Level 0 
     
       Task 13826 
     
       Opcode 0 
     
       Keywords 0x8020000000000000 
     
      - TimeCreated 

       [ SystemTime]  2017-07-11T11:35:21.200278100Z 
     
       EventRecordID 3792974 
     
       Correlation 
     
      - Execution 

       [ ProcessID]  660 
       [ ThreadID]  34468 
     
       Channel Security 
     
       Computer SERVER2012 
     
       Security 
     

    - EventData 

      MemberName - 
      MemberSid S-1-5-21-164511655-3804697922-1637788649-1085 
      TargetUserName None 
      TargetDomainName SERVER2012 
      TargetSid S-1-5-21-164511655-3804697922-1637788649-513 
      SubjectUserSid S-1-5-18 
      SubjectUserName SERVER2012$ 
      SubjectDomainName WORKGROUP
      SubjectLogonId 0x3e7 
      PrivilegeList - 


    • Изменено denklu 18 июля 2017 г. 14:53
    18 июля 2017 г. 14:50

Ответы

  • Судя по SubjectLogonSid, сделано это из какой-то из служб Windows (0x3e7 - это сеанс, в котором выполняются все службы со встроенной учётной записью Локальная система). Поищите по ProcessID - если этот процесс ещё выполняется (на компьютере SERVER2012), то вы его найдёте и сможете посмотреть какие службы в нем запущены. Если процесс не выполняется, но вы подозреваете возможность рецидива, то для установления источника последующих попыток можно ещё включить аудит создания процессов из группы Подробное отслеживание в расширенной политике аудита.

    Если у служб есть свои логи, то можно дальше искать в них.

    Ну, а меры защиты - общие: ставить последние обновления безопасности Windows и приложений, убрать ненужные службы или заблокировать в брандмауэре доступ к ним оттуда, откуда он не нужен (например, из интернета) и т.д.


    Слава России!

    18 июля 2017 г. 16:43
  • >Скорее всего  SYSTEM
    ну это в принципе я и так понял, не понял, каким образом вредитель заставил  
    SYSTEM создать нужную ему учетку.

    Ну описания конкретной уязвимости вам никто не даст. А теория такая:

    1. Подключиться к какому нибудь порту на котором слушает процесс с нужными привилегиями (например SYSTEM).

    2. Использовать уязвимость чтоб выполнить произвольный код.

    3. Этот код делает что требуется, например создает учетную запись.

    Если вам интересна теория как можно выполнить произвольный код через уязвимость то наиболее понятный вариант называется stack buffer overflow. Забейте это в поисковик и читайте что и как.

    Кстати, уязвимость не обязательно в ОС, они точно так же работают и в приложениях.


    This posting is provided "AS IS" with no warranties, and confers no rights.

    • Помечено в качестве ответа Vector BCOModerator 27 июля 2017 г. 11:25
    19 июля 2017 г. 15:56
    Модератор

Все ответы

  • Судя по SubjectLogonSid, сделано это из какой-то из служб Windows (0x3e7 - это сеанс, в котором выполняются все службы со встроенной учётной записью Локальная система). Поищите по ProcessID - если этот процесс ещё выполняется (на компьютере SERVER2012), то вы его найдёте и сможете посмотреть какие службы в нем запущены. Если процесс не выполняется, но вы подозреваете возможность рецидива, то для установления источника последующих попыток можно ещё включить аудит создания процессов из группы Подробное отслеживание в расширенной политике аудита.

    Если у служб есть свои логи, то можно дальше искать в них.

    Ну, а меры защиты - общие: ставить последние обновления безопасности Windows и приложений, убрать ненужные службы или заблокировать в брандмауэре доступ к ним оттуда, откуда он не нужен (например, из интернета) и т.д.


    Слава России!

    18 июля 2017 г. 16:43
  • Так же это может быть кто то из "своих", с локальной эсказацией привилегий. 


    This posting is provided "AS IS" with no warranties, and confers no rights.

    18 июля 2017 г. 21:04
    Модератор
  • Спасибо. сервер перезагружался поэтому по ID не отследить. Обновления все стоят, лишние службы вроде все отключены, из интернета видны ftp и RDP, но порты изменены, пользователи без админских прав, пароли сложные. по RDP никаких переборов не замечено, сразу вход по "пиратской" учетке.
    и все же, как или какая служба может создавать пользователя анонимно (или от имени системы)

    с SubjectUserSid S-1-5-18 
      SubjectUserName SERVER2012$ 
      SubjectLogonId 0x3e7

    "SERVER2012" - это имя сервера.

    19 июля 2017 г. 14:22
  • Спасибо. сервер перезагружался поэтому по ID не отследить. Обновления все стоят, лишние службы вроде все отключены, из интернета видны ftp и RDP, но порты изменены, пользователи без админских прав, пароли сложные. по RDP никаких переборов не замечено, сразу вход по "пиратской" учетке.
    и все же, как или какая служба может создавать пользователя анонимно (или от имени системы)

    с SubjectUserSid S-1-5-18 
      SubjectUserName SERVER2012$ 
      SubjectLogonId 0x3e7

    "SERVER2012" - это имя сервера.

    Есть различные уязвимости которые нередко эксплуатируются. Какая конктетно выстрелила у Вас достоверно узнать получится только если спросить у автора атаки.

    Если вы в интернет голым интерфейсом выставили сервак, на него травятся анализаторы уязвимостей (penetration test), и используют одну или несколько из них.

    Атака так же могла быть изнутри, например имея физический доступ к серверу можно натворить чудес минут за 15, так же атака возможно прошла пару месяцев назад, а заметили вы ее только когда появился пользователь.


    The opinion expressed by me is not an official position of Microsoft

    19 июля 2017 г. 14:38
    Модератор
  • Это все понятно, и все это могло быть, кроме физического доступа.
    Мне все же очень хочется узнать какими средствами нужно создавать пользователя, чтобы SubjectLogonId  получился  0x3e7 ?
    19 июля 2017 г. 15:09
  • >Скорее всего  SYSTEM
    ну это в принципе я и так понял, не понял, каким образом вредитель заставил  
    SYSTEM создать нужную ему учетку.
    19 июля 2017 г. 15:44
  • >Скорее всего  SYSTEM
    ну это в принципе я и так понял, не понял, каким образом вредитель заставил  
    SYSTEM создать нужную ему учетку.

    Ну описания конкретной уязвимости вам никто не даст. А теория такая:

    1. Подключиться к какому нибудь порту на котором слушает процесс с нужными привилегиями (например SYSTEM).

    2. Использовать уязвимость чтоб выполнить произвольный код.

    3. Этот код делает что требуется, например создает учетную запись.

    Если вам интересна теория как можно выполнить произвольный код через уязвимость то наиболее понятный вариант называется stack buffer overflow. Забейте это в поисковик и читайте что и как.

    Кстати, уязвимость не обязательно в ОС, они точно так же работают и в приложениях.


    This posting is provided "AS IS" with no warranties, and confers no rights.

    • Помечено в качестве ответа Vector BCOModerator 27 июля 2017 г. 11:25
    19 июля 2017 г. 15:56
    Модератор