Bruteforce et tentative de connexion RDP

[sbx59]

Bonjour,

sur une serveur RDP, j'ai plusieurs PC qui essaye par brut force le mot de passe admin.

J'ai le FRST de l'un des postes.

voici :

shortcut: https://pjjoint.malekal.com/files.php?i ... y8p510k6b6
addition: https://pjjoint.malekal.com/files.php?i ... 12u10k13k7
frst : https://pjjoint.malekal.com/files.php?i ... l6p15y12n5

merci de votre aide

[Malekal_morte]

Salut,

Rien d'anormal.
Le moniteur de ressources systèmes permet de lister les connexions établies avec le PID.
=> https://www.malekal.com/le-moniteur-de- ... e-windows/
Ca peut permettre de trouver le processus qui effectue les connexions vers le serveur.

[sbx59]

Ok.

sur le client, c'est systeme ( PID 4 )qui envoi des requetes sur le serveur mais il envoi ceci

Code : Tout sélectionner

Échec d’ouverture de session d’un compte.

Sujet :
	ID de sécurité :		NULL SID
	Nom du compte :		-
	Domaine du compte :		-
	ID d’ouverture de session :		0x0

Type d’ouverture de session :			3

Compte pour lequel l’ouverture de session a échoué :
	ID de sécurité :		NULL SID
	Nom du compte :		admin
	Domaine du compte :		DESKTOP-B5S17KJ

Informations sur l’échec :
	Raison de l’échec :		Nom d’utilisateur inconnu ou mot de passe incorrect.
	État :			0xc000006d
	Sous-état :		0xc0000064

Informations sur le processus :
	ID du processus de l’appelant :	0x0
	Nom du processus de l’appelant :	-

Informations sur le réseau :
	Nom de la station de travail :	DESKTOP-B5S17KJ
	Adresse du réseau source :	100.126.127.253
	Port source :		52832

Informations détaillées sur l’authentification :
	Processus d’ouverture de session :		NtLmSsp 
	Package d’authentification :	NTLM
	Services en transit :	-
	Nom du package (NTLM uniquement) :	-
	Longueur de clé :		0

Cet événement est généré lorsqu’une demande d’ouverture de session échoue. Il est généré sur l’ordinateur sur lequel l’accès a été tenté.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui a été demandé. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Les champs relatifs aux informations sur le processus indiquent quel est le compte et le processus sur le système qui ont demandé l’ouverture de session.

Les champs relatifs aux informations sur le réseau indiquent la provenance de la demande d’ouverture de session distante. Le nom de la station de travail n’étant pas toujours disponible, peut rester vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
	- Le nom du package indique quel a été le sous-protocole qui a été utilisé parmi les protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.

du coup le serveur est bruteforce avec quelque chose ... car il tente admin, root, ... etc ...

[sbx59]

Il envoi 8 requêtes a la seconde !

[sbx59]

voila ... :(

[Malekal_morte]

ok donc serveur RDP et pas RDS.
Sinon ça donne pas trop d'infos.

En tout cas, je ne vois rien d'anormal sur les rapports.
Tu as lancé un scan complet ESET ?

Faudrait faire des tests.
Est-ce que ça cela s'arrête si la session utilisateur est fermé.

[sbx59]

Oui, Eset ne trouve rien. Malwarebytes Anti-Malware (MBAM) et AdwCleaner non plus ...
si la session utilisateur s'arette, plus aucune connextion sur le serveur. ( l'utilisateur ne contact pas le serveur par contre. ( enfin l'utilisateur non, l'ordinateur tout seul oui) )

[Malekal_morte]

AdwCleaner n'est pas utile pour ce type de problème, il vise les adwares.

Ca déclenche dès l'ouverture de la session avec rien de lancé ?
Si tu créés une nouvelle session, ça donne quoi dessus ?

Sinon :
Essaye de couper les processus un par un.
Essaye le scan VirusTotal sur Process Explorer et Autoruns : https://www.malekal.com/comment-savoir-ordinateur-hacke-pirate/
Peut-être que GlassWire peut aider à trouver la source : https://www.malekal.com/glasswire-pare-feu/

[sbx59]

J'ai déjà un pare-feu ( fortinet ) qui me dit que ça serais du SMB ...

[Malekal_morte]

Ca va sur quel port les connexions ?

[sbx59]

port : 445

[sbx59]

les liens sont mort pour : Process Explorer

[Malekal_morte]

On parle bien de ce que tu vois dans le moniteur de ressources ?

Si c'est bien le port 445, donc rien à voir avec du RDP...
C'est bien du SMB donc partage de fichiers.
Donc une application qui tente d'aller sur un partage réseau vers ce serveur.

[sbx59]

Pourtant il n'y a aucun partage, c'est etrange.

En effet, mais c'est requetes sont faite vers un serveur RDP

[sbx59]

sur le moniteur de ressource il sont grisé.
voila ce que j'ai sur mon firewall.