Brute-Force-Angriff auf lokale VM

[second.name]

Hallo Community,
ich benötige euren Rat:

Seit einigen Tagen laufen Brute-Force-Angriffe auf einen RDP-Dienst in meinem Netzwerkt. Zunächst zum Setup:

Auf meinem ESXi-Heimserver läuft u.a. eine Windows-11-VM, welche ich mittels Portfreigabe im Router (TCP 3389) vom Internet erreiche. (Gern würde ich auch direkt in die VM einen VPN einrichten, aber auf meinem Dienstlaptop habe ich leider keine Admin-Rechte, sodass ich einen entsprechenden Client darauf nicht installieren kann.)

Damit mir von unterwegs meine dynamische-Heim-IP bekannt ist, habe ich in meiner FritzBox den MyFRITZ!-Dienst als DynDNS eingerichtet, sodass ich unter „abcdefghijk.myfritz.net:3389“ immer auf die Windows-11-VM zugreifen kann.

Zum Problem:
Seit 10.07. wird mehrmals täglich über Stunden versucht, sich im Sekundenrhythmus am RDP-Dienst anzumelden mit folgenden Besonderheiten:

1. typischerweise werden verschiedene Nutzernamen probiert (ADMIN, admin, Administrator, root, Master, User, …)
2. die Login-Versuche kommen von verschiedenen IP-Adressen gleichzeitig (aus Russland, Polen, Niederlande, Frankreich, Schweden) als würde ein ganzes Botnet angreifen
3. die interessanteste Besonderheit: Ich erhalte jede Nacht eine neue IP. Woher weiß der Angreifer die aktuelle Adresse? (Entweder ist mein Heimnetz „befallen“ und ein Dienst auf einem Gerät im Heimnetz meldet die neue Adresse, oder meine MyFRITZ!-Adresse ist dem Angreifer ebenfalls bekannt. -> Beides wäre Sch…

Ich habe jetzt die Portfreigabe auf eine Dummy-VM umgeleitet und werde das Verhalten beobachten. Wie würdet ihr aber grundsätzlich damit jetzt umgehen?

(Aufgefallen ist der Angriff übrigens nur dadurch, dass Windows-11 das Konto bei zu vielen fehlerhaften Anmeldeversuchen sperrt. Auch das Anmelden an der Konsole war dann immer für 15 Min. nicht möglich.)

 

[scooter010]

RDP auf einen high-Port verschieben.

 

[konkretor]

RDP gehört nicht ins Internet, nutze VPN oder HTML5@RDP Lösungen

 

[qiller]

Du musst also mit deinem Dienstlaptop auf eine Win11-VM in deinem Heimnetz zugreifen. Wenn der Zugriff für die unternehmerische Tätigkeit notwendig ist, solltest du mit den Admins reden, um einen kompatiblen VPN-Client installieren zu lassen. RDP direkt per Portforwarding erreichbar zu machen ist nie eine gute Idee.

Wenn es einen anderen Grund für den Zugriff gibt, bin ich bei scooter010 (was trotzdem nicht ideal ist).

 

[dms]

@second.name .. wo ist denn das Problem tausende Rechner penetrieren tausende Rechner automatisch auf tausenden Ports - nur das du das siehts macht dich kirre.


uU nochmal der Frage durchgehen, warum die VM so Naksch im INet hängen "musst" .. was muss dem vom Dienstrechner unbedingt daheim gehmacht werden....

 

[Redundanz]

die interessanteste Besonderheit: Ich erhalte jede Nacht eine neue IP. Woher weiß der Angreifer die aktuelle Adresse? (Entweder ist mein Heimnetz „befallen“ und ein Dienst auf einem Gerät im Heimnetz meldet die neue Adresse, oder meine MyFRITZ!-Adresse ist dem Angreifer ebenfalls bekannt. -> Beides wäre Sch…

wenn du dir den ip range anschaust in dem deine gesamten ips liegen, wird je nach provider-konventionen vllt. deutlich, dass der angreifer nur ein paar oktette auf rdp -> open abscannen muss um gerade dich wieder zu finden. auf 200-300 tln kommen vielleicht im schnitt maximal ein, zwei offene 3389er, wenn nicht weniger.
aber klar, wenn er deine (dyndns-) heimurl kennt geht es natürlich noch leichter...

zum thema vpn, soweit ich weiß gibt es ein paar vpn clients, welche adminless vom usb stick, also portabel startbar wären. das wurde mal bei einer experimental-version von openvpn ermöglicht. aber da müsstest du recherchieren, das habe ich nur im hinterkopf gehabt. andererseits verstößt es womöglich gegen klauseln deines arbeitsvertrags so etwas zu umgehen.

ach ja.... block mal alle soweit von denen verwendeten ips. weil unendlich haben die auch nicht. könnte nach 10-20 oder so schon ruhig sein. bei https://www.abuseipdb.com/ kannst du nach den angreiferips auch suchen und ggf. weiterführende infos finden.

 

[second.name]

Danke für eure Antworten und wie beschrieben, ist RDP mittels Portweiterleitung nicht die beste Lösung - ich weiß, aber auch wenn ich jetzt RDP u. die Weiterleitung deaktiviere, ist der Effekt noch immer der Gleiche: Dem Angreifer ist immer meine IP-Adresse bekannt und das ist mein eigentliches Problem. -> Wie geht das?

 

[dms]

Dem Angreifer ist immer meine IP-Adresse bekannt und das ist mein eigentliches Problem.

.. nein die sind nicht dir auf der Spur sondern alle IP-Adressen
werden immer, andauernd penetriert (dein Router loggt das ber nicht sondern ignoriert das schweigend)
- das ist wie über den Parkplatz laufen und mal schauen ob eine Auto unverschlossen ist

 

[h00bi]

Dein AG hat doch sicherlich eine Internetleitung mit fester IP?
Begrenze den Zugang auf den RDP Port nach Quell-IPs. Die Fritzbox kann das nicht, aber lässt sich über eine zwischengeschaltete Linux Firewall lösen.

Ich bezweifle auch, dass du hier gezielt attackiert wirst.
RDP auf high Port legen wird die random "angriffe" vermutlich schon stoppen. Aber das ist sicherheitstechnisch immernoch katastrophal.

Um ehrlich zu sein wundert es mich, dass bei deinem AG Port 3389 ausgehend für User offen ist.

Eine alternative wäre übrigens, daheim einen SSH Server auf einem beliebigen Port wie 3389 zu hosten und diesen mit Fail2Ban abzusichern.

Du verbindest dich dann per SSH nach Hause und machst ein Port Redirect um auf deine RDP VM zu kommen.
Mit einem satten 40 Zeichen SSH Passwort und einem non-root User ist das genau so sicher wie VPN. Und es benötigt keine Admin Rechte.

 

[Bunkeropfer]

Muss es denn zwingend RDP sein, oder gehen auch andere Fernsteuertools wie AnyDesk, TeamViewer, ...?
Die kann man auf der Laptopseite auch portabel starten und hat so zumindest eine etwas besser gesicherte Verbindung

(ein echtes VPN ist natürlich hier immer noch vorzuziehen)

 

[chrigu]

Wenn du bruteforce Angriffe auf einen spezifisches Gerät hast, einfach vom Internet trennen. Werden danach im Router keine Angriffe mehr zu verzeichnen sind, unbedingt das Gerät auf eventuelle schadsoftware installiert ist…
Übrigens… nackt eine vm ins Internet zu stellen ist gelinde geschrieben fahrlässig.

 

[second.name]

.. nein die sind nicht dir auf der Spur sondern alle IP-Adressen

Das sehe ich ganz anderes, denn nur und ausschließlich am 11., 13., 15., und 17.07. gibt es über Stunden diese Angriffe, sonst ist nie etwas in unter Windows-Ereignisanzeige "4625" protokolliert - nur an diesen Tagen mit Tausenden Versuchen.

 

[Azghul0815]

Das sehe ich ganz anderes

Sorry, aber auch ich lese da Paranoia raus.
Das sind automatisierte Botnetze oder ein Bot der halt gestartet wird.
Teste doch mal das verändern des Ports auf was hohes und Schau was passiert.

 

[Sephe]

Es gibt eine Art "Fail2ban" für Windows. Nennt sich "evlwatcher".
Das ist ein Systemdienst, der dein Ereignisprotokoll überwacht, und bei fehlgeschlagenen Anmeldeversuchen erst temporär, später statisch bannt, in dem es eine Blockregel in der Windows Firewall einbaut.
--> Ist definitiv wirksam und besser als nichts.

 

[s1ave77]

Nennt sich "evlwatcher".

Faszinierend. Man lernt nie aus. Der ist mir noch nicht begegnet und ich bin da kein Stubenhocker .

Der kann meinen MeshCentral-Server auf Windows überwachen. Macht der von sich aus aber wie bei Fail2Ban, besser als Redundanz ist mehr Redundanz. Letzteres aktiviere ich auch für alles wichtige, ungeachtet eigener Funktion, versagt die interne Funktion, springt Fail2Ban an.

 

[second.name]

Sorry, aber auch ich lese da Paranoia raus.

Wäre schön, wenn’s nur Paranoia wäre, aber weil das Setup so schon seit Jahren läuft und noch nie diese Login-Versuche protokolliert, geschweige denn, das Konto sogar gesperrt hat, gehe ich nicht von Paranoia aus.

Ich recherchiere weiter und melde mich, wenn’s etwas Neues gibt. 👍🏻

Den Port werde ich aber auf jeden Fall mal verändern. 👍🏻

 

[s1ave77]

RDP- und SSH-Ports sind gesuchte Einfallstore. Da ist oft die Sicherung nachlässig oder User wissen garnicht, dass das im Netz hängt.

RDP und SSH von außen läuft bei mir via Guacamole oder Wireguard. Keine dedizierten Ports dafür exponiert.

 

[Tzk]

- das ist wie über den Parkplatz laufen und mal schauen ob eine Auto unverschlossen ist

Und andersrum parkt der TE sein Auto immer auf dem großen Parkplatz, nur immer in einer anderen Ecke bzw. auf einem anderen Stellplatz. Natürlich kommt der "Angreifer" dann unweigerlich immer mal wieder am Auto vorbei und zieht an der Tür...

 

[redjack1000]

Das sehe ich ganz anderes

Das kannst du sehen wie du willst, so lange der Port für RDP offen ist, werden Angriffe darauf laufen, macht nix ist aber so.

Ändere dein Verhalten und die Angriffe werden eventuell verschwinden. Nutze wie schon von anderen erwähnt, ein VPN und die Angriffe sind Geschichte

Cu
redjack

 

[second.name]

Das kannst du sehen wie du willst

Danke erstmal für euren Input. Ich betone nochmal, dass ich weiß, dass das Setup mit einem offenen Port nicht okay ist.

In diesem Thread soll es aber gar nicht um das Setup gehen (denn der Port ist in einer Sekunde geschlossen), sondern vielmehr darum, wie ich damit umgehe, wenn bei Dritten meine DynDNS-Adresse bekannt ist, oder ich Schadsoftware im Netz habe? ...Wie kann ich das filtern, verfolgen und analysieren?

Denn: Ich habe soeben die Ereignis-Logs nochmal genau betrachtet:

• Die gestrigen Anmeldeversuche (1.137 Stück) wurden praktisch gleichzeitig von 5 IP-Adressen aus Russland, Polen und Tschechien sogar mit meinem korrekten Benutzername "gebruteforcet".
• -> ich kann es mir überhaupt nicht erklären, woher und wie mein Nutzername bekannt wurde