¿Hay alguna manera de ver qué programa está causando intentos de RDP en la computadora?

5

Uno de nuestros servidores (que ejecuta RdpGuard) muestra varios intentos fallidos de máquinas de usuarios específicos (3 para ser exactos) y no puedo averiguar qué los está causando. Un usuario es local y dos son remotos utilizando VPN.

Hoy hay un patrón en los intentos.

Los tres IP son 192.168.1.11, 192.168.1.45 y 192.168.1.85

El patrón es el siguiente:

Failed attempt from: 192.168.1.48 (remote vpn)
Failed attempt from: 192.168.1.48 (remote vpn)
Failed attempt from: 192.168.1.11 (remote vpn)
Failed attempt from: 192.168.1.11 (remote vpn)
Failed attempt from: 192.168.1.85 (local)
Failed attempt from: 192.168.1.11 (remote vpn)

Estos intentos ocurren cada ~ 4-5 minutos en ese orden específico de hoy.

He ejecutado varias exploraciones de malware / rootkit / virus que no arrojaron resultados.

ACTUALIZACIÓN 1:

Los intentos de RDP ahora vienen de máquinas aleatorias dentro de la LAN local. Los servidores y las estaciones de trabajo se ven afectados.

ACTUALIZACIÓN 2:

Entonces, después de leer un poco más, pude averiguar sobre el archivo netlogon.txt (en el DC principal). Desde allí pude determinar el origen y el destino de los intentos de todos estos intentos de RDP. Ejecuté procmon en la máquina de origen y emparejé el evento del archivo de inicio de sesión de red (en el PDC) con el evento de correlación en la máquina de destino. Tomé el puerto de origen utilizado que se registró en el visor de eventos (seguridad) en la máquina de destino y comparé el procmon filtrado utilizando ese número de puerto. Eso me dio el proceso / PID del culpable, que era un servicio de administración de red utilizado por "Advanced Monitoring Agent" / RMM, que es un software MSP de solarwinds (busqué el PID en el Administrador de tareas).

Entonces, por alguna razón, el agente de MSP estaba tratando de RDP usando la cuenta de invitado. Seguí adelante y lo desinstalé de todas las máquinas y servidores de los usuarios locales. Lo he dejado en las máquinas de los usuarios en sitios remotos, ya que creo que no hay intentos de hacerlo (debido a que están en una subred diferente). También he eliminado a los usuarios de VPN del dominio y ahora acceden a los archivos internos utilizando 2xRDP.

    
pregunta mend0k 01.05.2018 - 18:20
fuente

2 respuestas

2

Si todavía ocurre cada 4-5 minutos, iría a uno (o a todos) de los tres hosts y ejecutaría procs sysinternals ( enlace ) para capturar la actividad del sistema.

Obtendrá una gran cantidad de datos, pero si verifica el aspecto de red de la herramienta, debería poder buscar conexiones a su servidor en TCP: 3389.

Los datos de Procmon deberían poder decirle qué proceso está haciendo la conexión y, luego, debería poder seguirlo hasta la fuente.

Si estos intentos de conexión se realizan a intervalos regulares, también verificaría las tareas programadas (o usaré CLI schtasks.exe) y revisaré lo que aparece en la lista.

    
respondido por el cglidden 04.05.2018 - 15:44
fuente
2

Compruebe los registros de seguridad de Windows y busque intentos de inicio de sesión. Puede filtrar por códigos de evento y buscar el tipo de inicio de sesión 10. Este es un inicio de sesión RDP. Puede ser que algún servicio en algunas computadoras esté intentando acceder a la unidad con credenciales incorrectas.

    
respondido por el Robert 02.05.2018 - 01:14
fuente

Lea otras preguntas en las etiquetas