28 marzo 2012

Cómo detectar quién juega con tu RDP


Ha sido uno de los bugs que marcarán el 2012: El bug del protocolo RDP que permite comprometer remotamente cualquier sistema Windows. Esta vulnerabilidad, para la que hay varios exploits públicos y que está siendo activamente explotada, es sin duda una de las vulnerabilidades más crítica que ha sido publicada recientemente para sistemas Windows.

Dado que a día de hoy es uno de los bugs que más interés despierta (y una vez añadido el exploit a metasploit, con más razón) viene bien monitorizar quien está 'jugando' con el.

Para ello, vamos a usar Patriot NG y su característica de monitorización de intentos de conexión a puertos.

El primer paso es detener Patriot, para ello buscamos el tray


Con el botón derecho del ratón seleccionamos 'stop'



El siguiente paso es añadir el puerto del RDP (3389) a la lista de puertos calientes, para ello nos situamos en:

C:\Archivos de programa\Patriot NG

Donde podemos localizar un fichero llamado 'destports.ini'


Una vez ahí, editamos el fichero con notepad y vemos que la estructura del fichero es bastante sencilla: [puerto]

Por tanto, añadimos el puerto al final del fichero:


Salvamos y desde el tray, volvemos a arrancar Patriot:


Con esto ya tenemos configurado Patriot para detectar intentos de conexión a ese puerto, cada vez que alguien lo intente, podremos ver el intento y bloquear la IP

16 comments :

Pedro dijo...

Muy bien. Me ha encantado

Adrián Ruiz dijo...

Existe exploit funcional para obtener shell?

Anónimo dijo...

Me interesa saber si bloquea el puerto llendo x el lado del firewall o aplicando politicas locales al equipo.
Nahuel
@jnahuelperez

Anónimo dijo...

Sólo te ha faltado poner cómo se instala Patriot ;)

Genial herramienta.

Yago Jesus dijo...

 ¡¡ Muchas gracias !!

Yago Jesus dijo...

En el enlace que puse sobre el bug del RDP, al final, hay muchas referencias a exploits http://windowstips.wordpress.com/2012/03/19/algunas-notas-sobre-el-exploit-ms12-020/

Yago Jesus dijo...

 Tomo nota ! Aunque la herramienta está bastante bien documentada con el proceso de instalación también :P

Rafa AKAE dijo...

Yago, ¿Es normal que la versión de 64 bits de Patriot NG se instale en Program Files (x86)?

Yago Jesus dijo...

Si, lo es. De hecho no es una versión compilada a 64bits, lo que pasa es que por la forma en la que windows 64 gestiona era necesario fixear el instalador.

A futuro, espero tener una versión totalmente 64 bits

Dario90 dijo...

Si mal no recuerdo el Escritorio Remoto viene desactivado por defecto en WIndows XP, ¿por que tanto lio si pocas personas lo activan?

Eduardo Ayaviri dijo...

muchisimas gracias, esto tambien se aplica cuando nos quieren robar wi-fi
 

Unknown dijo...

Eduardo Ayaviri: Disculpa, esto como lo podrias usar para evitar las intrusiones en las redes Wi-Fi?

Ralbas dijo...

El programa esta genial!, solo una pregunta, en un Windows 2008 server he agregado el puerto 3389 al archivo destports.ini y he reiniciado el servicio, esta activado el NIDS en el panel de control de patriot pero aun asi, no me detecta conexiones fallidas al RDP. sera por que ya estoy en una sesion de rpd?
que habré hecho mal?

Saludos!

Roger Rayme Bautista dijo...

Saludos!!...
De hecho lo mio en el post mas que un comentario es una sugerencia, si entendemos la importancia en que la empresa considera el tener uno o varios servidores a nivel de infraestructura(producción) entonces entiende que tan critico es que su información viaje por la nuve.


Les comento ya que hace menos de 1 mes implemente una solución opensource en lo que refiere a un UTM en una empresa que tras la configuración adecuada controlaba todo trafico, asi mismo al revisar los log encontré que los servicios que tenia nateados a la nuve staban siendo testeadas de diferentes direcciones IPS a las que principalmente intentaban acceso al puerto de SQL (1433) y RDP(3389).
Tras investigar la mayoría de estas venían de Asia, que hacían inyección por sql.
Asi que si se toman el tiempo y levantan mstsc.exe y prueban con las siguientes direcciones entenderán que tan segura es su red.


210.211.117.81 60.191.153.156 182.84.98.2442.120.0.148 42.121.85.67122.227.144.10117.41.184.46222.240.235.7042.121.17.180124.163.243.45205.158.153.162199.180.102.642.121.18.84
24.230.196.16458.246.137.76202.103.178.84114.105.216.55112.123.169.42


Saludos!!

nexus dijo...

Les dejo otra herramienta opensource para windows: winfail2ban. Muy buena. http://winfail2ban.sourceforge.net/

Marcos dijo...

nuve? jaja! limitate a quedarte callado si no sabes escribir!