Grazie all'audit NTLM ho finalmente identificato la sorgente, si
trattava di un nuovo Windows server 2019 RDS configurato su AZURE , la
cosa strana è che non era ancora stato utilizzato dagli utenti ...
La macchina era esposta in RDP ma solo per il tempo di prepararla, user
e password di accesso era improbabile che potessero essere identificati
quindi deduco sia qualche vulnerbilità rdp ?
Il 22/11/2021 14:30, Andrea ha scritto:
Grazie a tutti per i vostri consigli, installando WireShark con un
paio di filtri riesco ora ad identificare il reale indirizzo IP anche
se finora l'attacker è rimasto fermo, nel senso che da Giovedì scorso
non ho più tentativi di bruteforce.
Sarò pronto spero per il prossimo attacco, nel frattempo ti chiedo se
questo AlienVault OSSIM è anche un IPS, perchè vorrei che bloccasse in
automatico questi attacchi in attesa che io intervenga per
identificarli e rimuoverli.
grazie!
Il 20/11/2021 23:50, Enrico Pasqualotto ha scritto:
Ciao, io ti consiglio AlienVault OSSIM che lo puoi scaricare e usare
subito. Ha una componente IDS che ti permette di monitorare il
traffico nella rete e degli agent (OSSEC) che puoi installare sui DC.
Io in casi simili uso questa soluzione portando la VM direttamente
dal cliente e aggiungendo come ruleset ET pro.
Enrico Pasqualotto.
Il giorno sab 20 nov 2021 alle ore 17:10 Andrea <[email protected]>
ha scritto:
Ciao a tutti,
chiedo a chi è più esperto un consiglio per un problema che ho
riscontrato da qualche giorno, ho un server DC windows 2012R2
dal quale
mi arrivano random notifiche di tentativi di logon falliti (avevo
configurato un task di notifica di avviso al verificarsi di un
evento ID
4776 e di lock account) , andando a vedere i log vedo che la Source
Workstation cambia continuamente con nomi casuali vanificando
così ogni
tentativo di identificare la macchina sorgente.
Nessun server è esposto su Internet quindi l'attacco è
sicuramente dalla
rete interna ma secondo voi come è possibile identificare il vero
indirizzo IP dell'attacker?
So che ci sono anche gli EDR che permettono di identificarli ma mi
servirà installare un agent su tutte le macchine, anche quelle
remote, e
mi ci vorrà tempo. Quindi al momento mi serve qualcosa che
identifichi
subito questo attacco.
grazie!
Andrea
