Plotseling wachtwoord veranderd?

Laatste updates wel geïnstalleerd? Zijn de laatste tijd nogal wat rdp lekken geweest. Sowieso niet zo handig om rdp rechtstreeks aan het internet te hangen..

Backup terugzetten? Geen ander admin account?

Kijk in de eventlog om te zien wanneer het paswoord was veranderd.

En erin komen: https://www.ubuntupit.com...ith-ubuntu-linux-live-cd/

Maareuh, zeker dat je eigen account niet expired is? Of keyboard config gewijzigd?

1 vraagteken=vraag. 20 vraagtekens is op z’n best schreeuwen, ik haal de meeste even weg uit de topictitel

Verder: als geen familielid oid het zou hebben gedaan zou ik uitgaan van malware. Trek de stekker er uit, start op van bootable usb of cd, scan en backup. Als besmetting, formatteer en zet alleen data terug.

Edit:

Hasse schreef op woensdag 20 mei 2020 @ 21:18:

Windows 10. Systeem hangt (hing op dit moment) aan het internet met remote desktop enabled en bereikbaar via port forwarding.

Leermoment: dat nooit meer doen. Doe tenminste een vpn ervoor.

[Voor 32% gewijzigd door F_J_K op 20-05-2020 21:49]

Betreft RDP open op internet hoeft geen issue te zijn, mits goed beveiligt.
Installeer een Fail2Ban oplossing en een 2FA, dan ben je een stuk veiliger.
Beide opties hierboven hebben goede, gratis varianten.

Voor je wachtwoord, gebruik ik zelf altijd deze tool, heeft meerdere keren goed zijn werk gedaan bij vrienden
https://www.lazesoft.com/...rd-recovery-freeware.html

Je kunt je Event Viewer doorspitten en kijken of je iets kunt vinden.
Evenals in je service management / uitvoerende processen en door je Windows verkenner heen lopen of je vreemde mappen ziet.

En daarna, zou ik, je Windows opnieuw installeren voor de zekerheid, met een ander wachtwoord.
En dan de boel beter beveiligen.

Pak eens een Audit Failure en copy past even die tekst die erin staat in dit topic.

@Hasse RDP is inderdaad een veelgebruikt protocol maar niet direct aan het internet. Als RDP al vanaf het internet bereikbaar is, zit er een RD Gateway tussen. Het liefst ook met 2FA.

Dan kun je nog beter iets als Teamviewer (met een sterk wachtwoord) gebruiken.

[Voor 19% gewijzigd door Room42 op 21-05-2020 00:24]

Yep, dit is een Brute Force aanval.
Installeer Fail2Ban voor Windows en een 2FA.
En update je Windows elke dag met taakplanner.

Of zet er een VPN voor.

TeamViewer altijd actief hebben is ook niet veel veiliger. In het verleden zijn hier ook hacks in geweest.
Wat ook een goede remote tool is, is CoMoDo Remote Control, is gratis en heeft 2FA.

WeHoDo schreef op donderdag 21 mei 2020 @ 00:41:
TeamViewer altijd actief hebben is ook niet veel veiliger. In het verleden zijn hier ook hacks in geweest.
Wat ook een goede remote tool is, is CoMoDo Remote Control, is gratis en heeft 2FA.

Elke tool heeft kans op lekken, ook CoMoDo RC. De lekken zijn gepatched, dus de vraag is hoe ze daarmee omgingen. Teamviewer werd ook veel misbruikt door scammers als remote tool maar daar hebben ze ook wat tegen gedaan door een 'Possible scam warning' te tonen bij verdachte verbindingen.

Zolang de security niks mag kosten, zijn dit soort tools beter dan plain RDP.

@Hasse Voor je research zul je flink in de krochten van je event logs moeten duiken, aangezien dat waarschijnlijk het enige is dat je hebt. Maar ik twijfel of je daar veel aan gaat hebben. Trek hieruit gewoon de les: Dance like nobody is watching, encrypt like everybody is.

[Voor 17% gewijzigd door Room42 op 21-05-2020 00:49]

Room42 schreef op donderdag 21 mei 2020 @ 00:47:
[...]

Elke tool heeft kans op lekken, ook CoMoDo RC. De lekken zijn gepatched, dus de vraag is hoe ze daarmee omgingen. Teamviewer werd ook veel misbruikt door scammers als remote tool maar daar hebben ze ook wat tegen gedaan door een 'Possible scam warning' te tonen bij verdachte verbindingen.

Zolang de security niks mag kosten, zijn dit soort tools beter dan plain RDP.

@Hasse Voor je research zul je flink in de krochten van je event logs moeten duiken, aangezien dat waarschijnlijk het enige is dat je hebt. Maar ik twijfel of je daar veel aan gaat hebben. Trek hieruit gewoon de les: Dance like nobody is watching, encrypt like everybody is.

Klopt, remote tools zijn altijd een risico.

Als het wachtwoord veranderd is geweest dan is men wel degelijk op je systeem geweest. Er zijn gewoon een heel pak bedrijven die snel snel RDP open gezet hebben voor het thuiswerken en dat rechtstreeks aan het internet hangen om van thuis uit te kunnen overnemen.

In een bedrijfsomgeving werkt men doorgaans met domein gebruikers en zelden tot nooit worden lokale accounts gebruikt, die merken dat dus niet als de local admin zijn wachtwoord veranderd is.

En uiteraard, als men het ligt door te verkopen dan wil je niet dat iemand anders ondertussen dat wachtwoord kraakt, immers als het jou gelukt is dan lukt het iemand anders vast ook wel dus het eerste wat je doet is dat wachtwoord veranderen.

En als je een dergelijk login/wachtwoord koopt, opnieuw, het eerste wat je doet is het wachtwoord veranderen.

RDP is gewoon niet geschikt om rechtstreeks aan het internet te hangen met als basis reden, het is nooit ontworpen geweest om zo gebruikt te worden.

Formateer het ding en trek er je lessen uit is mijn advies. En ik hou mijn hart vast voor al die bedrijven die snelsnel alles aan het internet gehangen hebben om van thuis uit te kunnen werken, dat gaat nog vuurwerk geven.

En wat het brute forcen betreft, vermoedelijk gebruiken ze een dictionary attack, als men RDP gewoon aan het internet hangt zonder meer dan moet je in de meerderheid ook geen moeilijke wachtwoorden verwachten.

Heb je iets gedownload wat geinfecteerd was? Dit is een tool om wachtwoorden te achter te halen op je pc.
Waarschijnlijk draait er ook iets om het TXT / CSV te uploaden naar de hacker.

Gewoon formatteren die hap, straks wordt je pc en/of je hele netwerk ge-encrypt en ben je nog verder.

Formatteren en alle andere systemen in je netwerk controleren op extra accounts. Alle systemen die geen wachtwoord vereisen, data veilig stellen en opnieuw installeren (format - setup) en andere account namen gebruiken. Veilig stellen van je data is nu stap 1.

Er is namelijk nog een ungepatched lek:
https://www.varonis.com/b...-rdp-security-weaknesses/

Je kan kijken naar zo iets. Voor home is het volgens mij gratis.
https://duo.com/docs/rdp

[Voor 32% gewijzigd door Wim-Bart op 21-05-2020 01:53]

Hasse schreef op donderdag 21 mei 2020 @ 01:19:
[...]

Remote staat nu dicht. Ik zie geen hele goede reden om het systeem te formatteren eigenlijk. De virusscanner vind niets. Wachtwoord is veranderd en versterkt. Ik vermoed dat het niet verder is gekomen dan het oogsten van een login en dat er verder nog niets mee gedaan is.

Zelfs al vind je niets (en je hebt al wat gevonden), het systeem is gecomprimeerd geweest. Welke settings zijn er nog veranderd? Je hebt geen idee. Wat er is geïnstalleerd, je hebt geen idee.

Waarom zou een AV reageren op bijvoorbeeld een remote tool die geïnstalleerd is (voor het geval jij er toch achter kwam dat RDP geen geweldig idee was)? Of op een powershell script dat klaar staat en als het triggert een payload begint te downloaden?

Een AV moet dienen om een aanvaller buiten te houden maar in jou geval, ze zijn binnen geweest en jij hebt geen flauw idee wat ze wel of niet gedaan hebben => format disk is wel het minste wat ik je aanraad en als ik zie waar je mee bezig houd als werk op je profiel, no offense, maar overweeg een cursus cybersecurity.

Een up to date systeem != garantie op een veilig systeem, een verkeerde config en je bent vertrokken, een andere poort gebruiken heeft totaal geen effect op security en in dit geval is de poorten dicht zetten niet genoeg om de aanval te stoppen, het ding moet geïsoleerd worden van het netwerk en beschouwd worden als een potentieel besmettelijk machine die zowel over netwerk als usb devices kan proberen zijn payload door te pompen of nog kan proberen een payload binnen te trekken.

Wellicht interessant om te delen hoe je achter deze gegevens bent gekomen?

@Hasse Duo is 2FA en gratis te gebruiken. Je kunt tijdens het instellen er voor kiezen dat je alleen via RDP een extra handeling moet doen of ook bij lokaal inloggen. Voor 2FA kun je dan kiezen uit een pushmelding op je telefoon (of tablet) of een extra code invoeren (vergelijkbaar met Google/Microsoft Authenticator).

Uit ervaring kan ik zeggen dat je beter het systeem kan formateren en opnieuw opbouwen.
Vermoedelijk zit er toch nog iets verborgen wat nu 'slaapt' en opeens je omgeving kan encrypten. De meeste ransomeware proberen ook je hele netwerk te scannen of er ergens nog een share is die ook encrypt kan worden. Overigens is het verstandig om ook je overige systemen te controleren.

[Voor 10% gewijzigd door tmtx op 21-05-2020 09:28]

Tip;

Gebruik de Veeam Agent (gratis) om periodiek een backup te maken van dat systeem. Die backup kun je met de bijgeleverde boot ISO gewoon Bare Metal terugzetten (zelfs op een ander systeem of op een VM desnoods).

Dan had je nu namelijk een backup terug kunnen zetten van voor de hack en had je al dat config werk niet hoeven doen.

[Voor 3% gewijzigd door FreakNL op 21-05-2020 11:19]

password op webbrowserpassview zip file is standaard voor deze leverancier: wbpv28821@
zie: https://www.nirsoft.net/utils/web_browser_password.html

Hasse schreef op donderdag 21 mei 2020 @ 12:46:
[...]

Ah, interessant. De virusscanner is overigens allergisch voor de inhoud!

Ik ben overigens nog met mijn forensische actie bezig en toch klopt er nog iets niet. Het lijkt zo tegenstrijdig dat een botnet ingezet wordt voor een bluekeep achtig beveiligingsprobleem. Voor een RCE (remote code execution) via RDP heb je toch geen botnet nodig namelijk. Mijn wachtwoord brute forcen duurt 8 tot 50 jaar op het tempo van dat botnet. Dus dat is ook niet zo waarschijnlijk. (inmiddels is het wachtwoord zo sterk dat het miljoenen jaren duurt). De enige conclusie is dat mijn random wachtwoord in een dictionary staat..... maar dat is dan ook wel erg vreemd (en zie ik ook niet als erg waarschijnlijk op dit moment)!

Tenzij je dat wachtwoord nog voor andere diensten hebt gebruikt die in het verleden gehackt zijn?

Hasse schreef op donderdag 21 mei 2020 @ 11:10:
[...]

Ik heb overigens een developers mindset qua security en niet die van een systeem beheerder . Dat wil zeggen dat ik meer interesse heb in de achterliggende techniek en minder snel geneigd ben om de boel gewoon te formatteren en opnieuw in te richten. Ik volg dan ook niet alle security exploit nieuws sites maar had wel gehoopt dat een lek in RDP de frontpage op Tweakers gehaald had......

JIj wilt niet weten hoe vaak ik met ontwikkelaars in de clinch ga over security en dan heb ik het niet op de systeemkant maar letterlijk over hoe ze de boel ontwikkelen. Globale software voor het brede publiek is doorgaans best ok maar alles wat niche is, het is een ramp.
Uitvoerbare bestanden digitaal tekenen met een uitgever, wat is dat? Hoezo, ik mag geen files dumpen bij de install naar de syswow64 folder? (en dan nog liefst oude 32bit dll files). Hoezo we mogen niet rechtstreeks zelf mails versturen, dat werkt toch, je moet gewoon je SPF aanpassen als je ze naar extern stuurt (mails digitaal tekenen & DKIM kennen ze niet).

En als een AV product dan hun software onderuit haalt dan krijg je als antwoord dat je ze moet toevoegen als uitzondering. Als je vraagt hoe het komt dan krijg je volgend antwoord, omdat onze software voor speciale dingen geschreven is en de AV hier foutief op reageert. Dan begin je te graven en kom je erachter dat het ding port listeners heeft die als doorgeefluik naar een andere poort dienen (en dus poorten aan het remappen is) en dat het 100 verbindingen naar buiten opengooit op dezelfde poortnummer wat enkel werkt omdat Win wel zo slim is om dat te vertalen naar 100 verschillende poortnummers.

Moest de AV niet reageren op dat soort grapjes, dan doet die simpelweg zijn werk niet.

Punt dat ik wil maken, security != enkel het probleem van systeembeheerders, het is het probleem van iedereen inclusief de eind gebruiker die er niets van kent.

Uiteraard kan je de machine gaan onderzoeken om te kijken wat er gebeurd is, maar van het moment je doorhebt dat die gecomprimeerd is geweest gaat die in quarantaine en no way dat die terug in een netwerk actief komt voor je zeker bent boven elke twijfel dat er niets achter is gebleven. Een format geeft vrij veel zekerheid en lijkt mij in dit geval afdoende maar mocht je een high risk omgeving zijn, dan vloog die machine integraal het containerpark op.

Om u een idee te geven, als het niet gaat om simpele malware die vrij snel heel duidelijk is door bijvoorbeeld toolbars of ongevraagd contact advertenties te tonen, gemiddeld duurt het 9! maanden voor een bedrijf door heeft dat het gecomprimeerd is geweest.

Een bonus tip van de systeemkant, als je een machine hebt met een lastige config waar je veel tijd in moet steken, neem dan een backup van die config of van die machine. Disk failure, config overschreven, machine gecomprimeerd, HW replacement, ooit komt een dag dat je diezelfde config opnieuw moet doorlopen, als je dan vanaf 0 moet herbeginnen met alles uit te zoeken, dat leer je heel snel af als systeem beheerder.

[Voor 4% gewijzigd door sprankel op 21-05-2020 14:15]

Maak even een goede image, kan je openen in een sandbox. Even forensische analyse en dan een leuke blog van maken. Misschien best leuk om te doen

Maak het liefst gebruik van Desired State Configuration (DSC) dan weet je precies welke setting je hebt/had staan en is een nieuwe installatie relatief een eitje.

Een image maken kan natuurlijk ook, alleen dat is meer een moment opname. Met DSC weet je de settings ook en dit moet je dan ook wel onderhouden.

Hoe dan ook, je hebt er iig pittig werk aan.

Chielemans schreef op donderdag 21 mei 2020 @ 17:50:
Maak even een goede image, kan je openen in een sandbox. Even forensische analyse en dan een leuke blog van maken. Misschien best leuk om te doen

Dat is wel een interessant idee voor dit soort situaties.

[Voor 31% gewijzigd door SparTi op 21-05-2020 18:23]

Voor de toekomst kun je ook overwegen om rdp aan te laten, maar niet te forwarden via je router. Op de machine zet je dan een html5 webserver zoals Myrtille.
Dan log je buitenaf in via html (autoacme kan zorgen voor Lets encrypt certificaten) en vanaf de browser ga je verder over rdp. Als je de webserver dan plaatst op een wat vreemdere poort krijg je een flink wat minder aanvallen binnen.