Взлом через RDP: Реально_Дебильные _Пароли

25.12.2013 | 14:41 Экономика

Компании тратят миллиарды на ПО и «железо», противостоящее кибер-атакам. Но всё это — вхолостую, если при этом остаются зияющие дыры в цифровой защите, хорошо известные взломщикам. Сегодня мы рассмотрим подпольный сервис, предоставляющий доступ к взломанным ПК организаций, допускающих подобного рода ошибки.

Makost[точка]net — сервис, рекламируемый на форумах кибер-преступников, и продающий доступ к RDP, преимущественно систем на базе Windows с плохо сконфигурированным доступом к Remote Desktop Protocol через интернет. Здесь всё просто: запускаете утилиту подключения к удалённому рабочему столу, вводите интернет-адрес удалённой системы, вводите логин и пароль существующего пользователя удалённой системы. Вуаля: вы видите рабочий стол удалённой системы и у вас есть доступ ко всем программам и файлам.

Упомянутый выше сервис продаёт доступ к тысячам взломанных машин. Цены варьируются от $3 до $10 в зависимости от некоторых особенностей взломанной машины (процессор, версия операционной системы, загрузка сети и скорость загрузки итп).

В текущий момент сервис предлагает доступ к более чем 6000 взломанных установок RDP. Как видно на скриншоте выше, взломанные системы оцениваются в соответствии с комбинацией
качеств сервера:

• город, штат, страна;
• администраторские или пользовательские права;
• версия операционной системы;
• количество и частота процессоров;
• объём оперативной памяти;
• загрузка сети и скорость загрузки;
• NAT (преобразование адреса) или прямой доступ.

Потенциальные злоумышленники просто сканируют блоки интернет-адресов в поиске хостов, отвечающих на запросы по одному из портов. Как только обнаруживаются адреса с открытыми портами удалённого администрирования, можно переходить ко второй части: использованию дефолтных или слабых полномочий.

При исследовании взломанных таким образом машин выясняется удивительная вещь: у большинства уязвимым портом оказывается порт 3389 (Microsoft RDP), а пароль полностью совпадает с именем пользователя. Практически без вариаций и закономерно.

Некоторые из комбинаций логин/пароль могут дать вам представление о типе организации, владеющей учётной записью («техподдержка», «бухгалтерия»), должности сотрудника («стажёр») и даже географическом положении взломанной машины в организации («ресепшн», «конференц-зал», «гараж»). Некоторые даже названы в честь используемых средств защиты или устройств резервного копирования («Symantec», «SonicWALL», «Sophos»).

Вот небольшой список логинов и паролей такого рода:

owner owner
install install
besadmin besadmin
guest guest
symantec symantec
frontdesk frontdesk
sophos sophos
aspnet aspnet
scanner scanner
tablet1 tablet1
user user
billing1 billing1
shipping1 shipping1
template template
faxserver faxserver
sales sales
driver driver
sys sys
AdMiNiStRaToR AdMiNiStRaToR
ipad ipad
canon canon
fax fax
remote1 remote1
temp temp
testuser testuser
garage garage
sms sms
Administrator Administrator
fax fax
clerk clerk
bu bu
lab lab
pc pc
mail mail
konica konica
canon canon
frontdesk frontdesk
driver driver
operations operations
trainer trainer
accounts accounts
installer installer
help help
intern intern
la la
faxes faxes
sales1 sales1
router router
user1 user1
fax fax
exchadmin exchadmin
user4 user4
student1 student1
lo lo
scan scan
classroom classroom
client1 client1

Так что самым лёгким способом получить взломанную систему через «Удалённый доступ» — это не думать о правах доступа и использовать дефолтные установки или что-то очень примитивное. К несчастью, слишком многие организации, которым суждено оказаться в списке взломанных систем на продажу, отдают вопросы информационной безопасности в руки сторонних компаний, которым нет особого интереса выполнять свою работу хорошо. А то и собственными силами можно обойтись, не правда ли?