Ataques a Escritorio Remoto – Entrada de Ransomware

1. Introducción y objetivos


En este artículo vamos a explicar superficialmente la metodología que emplean ciertos grupos criminales para ingresar en sistemas informáticos, mediante la explotación de sus servicios de escritorio remoto (RDP). Esta metodología para llevar a cabo la instalación de distintos malware, la hemos podido observar en gran número de servicios de análisis forense sobre ataques ransomware, y no es de extrañar en absoluto dada la naturaleza y facilidad de explotación, como podremos ver a lo largo de este artículo.

Para ello necesitaremos tener al menos unos conocimientos básicos en herramientas de fuerza bruta y lanzamiento de exploits. Como máquina atacante vamos a emplear Kali Linux.


2. ¿En qué consiste un ataque de escritorio remoto (RDP)?


Un ataque de escritorio remoto, o ataque a RDP por sus siglas en inglés («Remote Desktop Protocol»), consiste básicamente en explotar una vulnerabilidad del protocolo RDP, bien a través de distintos exploits («Bluekeep«), o bien mediante fuerza bruta. Aunque la gran mayoría de las intrusiones por RDP se llevan a cabo mediante técnicas de ataque de fuerza bruta, en ciertas ocasiones los ciberdelincuentes emplean credenciales obtenidas por la explotación de bases de datos, o buscan directamente credenciales en bases de datos (BBDD) leakeadas.

De esta manera un atacante puede ingresar al escritorio remoto de la víctima, ejecutando comandos en esta, mediante los cuales puede llegar a modificar las funciones de los sistemas antivirus, introducir herramientas con las que analizar la red, capturar credenciales u otro tipo de información sensible, mediante la cual continuar la explotación de los sistemas de la organización, y un largo etcétera.


3. ¿Qúe grupos APT emplean entre sus TTP ataques de RDP?


Hoy en día los grupos organizados denominados Amenazas Persistentes Avanzadas (APT, por sus siglas en inglés), realizan constantemente acciones ofensivas en el ciberespacio. Para llevar a cabo sus ataques organizados emplean infraestructuras de mando y control (C2) mediante las cuales ejecutan distintas Tácticas, Técnicas y Procedimientos (TTP) para finalmente llevar a cabo los objetivos de sus acciones, como viene a ser la distribución de ransomware, entre otros.

En los distintos grupos APT podemos observar varios de ellos que presentan entre sus TTPs la penetración a sistemas a través de la explotación del servicio de escritorio remoto (RDP), el uso de este medio para realizar movimientos laterales en la organización vulnerada, o la habilitación de RDP para crear persistencia en la máquina víctima, entre otros. Podemos ver algunos de estos grupos aquí.


4. Explotación RDP máquina Windows 2008 Server R2


En este apartado vamos a dar comienzo a la explotación del servicio de escritorio remoto, el cual se ejecuta bajo una máquina con Sistema Operativo (SO) Windows 2008 Server R2, con dirección IP 192.168.153.131.

Para realizar estas pruebas de concepto (PoC), hemos elegido esta máquina por la sencilla razón de que tras haber realizado numerosos servicios de análisis forense, hemos concluido que se trata de una de las máquinas más vulneradas por grupos criminales mediante la explotación del servicio de escritorio remoto, ya sea directa o indirectamente.

Como curiosidad decir que en varios casos de intrusiones por RDP se ha determinado cómo grupos cibercriminales han accedido a distintos sistemas de víctimas, mediante la explotación de la vulnerabilidad «MS17-010» correspondiente al protocolo SMB (puerto 445), con exploits de dominio público tipo «Eternalblue«. Una vez realizada la intrusión procedieron a cambiar las credenciales de acceso de ciertos usuarios locales y posteriormente procedieron a ingresar a la máquina víctima a través del servicio de escritorio remoto por el puerto 3389 .

Las intrusiones descritas en el párrafo anterior, se llevaron a cabo por grupos cibercriminales tras realizar escaneos masivos mediante barridos de direcciones IP en busca del puerto 3389, perteneciente por defecto al servicio de escritorio remoto (RDP) en sistemas Windows.

En nuestro curso de Introducción a la Ciberseguridad mostramos un ataque encadenado de estas características, mediante el cual se lleva a cabo una intrusión en una máquina con S.O. Windows 7.


a) Exploit BlueKeep CVE-2019-0708


En esta PoC vamos a comprobar si la máquina a auditar es vulnerable a la vulnerabilidad CVE-2019-0708, la cual constituye la última vulnerabilidad conocida de escritorio remoto de Microsoft, haciendo posible la ejecución de comandos remotos.



Como podemos observar en la imagen anterior, el servicio es vulnerable. De esta manera tan sencilla podemos sacar la conclusión de que el servicio debe ser actualizado o deshabilitado para evitar que un atacante pueda comprometer la máquina.

Para poder ver más detalladamente este exploit les recomiendo la lectura del artículo de flu-project.


b) Ataque de fuerza bruta por diccionario


Como bien hemos mencionado en apartados anteriores, este es el tipo de ataque más empleado para la explotación de este tipo de servicios. Este ataque básicamente consiste en buscar credenciales débiles y por defecto, que el atacante pueda aprovechar para poder realizar posteriormente la intrusión.

A continuación vamos a proceder a realizar un ataque de fuerza bruta por diccionario al protocolo RDP, puerto 3389, haciendo uso de la herramienta “Lazy-RDP” (https://github.com/getdrive/Lazy-RDP).  Una vez instalada la herramienta en cuestión, la ejecutamos y procedemos a configurar los distintos parámetros solicitados como vemos en las siguientes imágenes.





Una vez finalizado el ataque de fuerza bruta, vemos cómo la herramienta nos arroja la información de que se ha encontrado una credencial de acceso válida (administrador:Admin1234), y la exporta directamente al archivo de texto “good”.

Llegados a este punto procedemos  a conectarnos por escritorio remoto a la máquina víctima introduciendo las credenciales reportadas por la Lazy-RDP.




Como podemos observar hemos ingresado con éxito en la máquina víctima a través de su servicio de escritorio remoto.


c) Acciones sobre los objetivos


Es justo en este momento cuando los cibercriminales comienzan a realizar sus acciones sobre las máquinas vulneradas, con la finalidad de infectar al mayor número de unidades de almacenamiento y sistemas de la organización empresarial.

Nos podemos encontrar distintos casos de ataques de ransomware y otros tipos de malware, que coinciden en mismo «modus operandi», aún perteneciendo a distintos grupos criminales. Normalmente, una vez el atacante ha obtenido acceso por RDP a la máquina víctima, procede a ejecutar los siguientes puntos por el orden marcado:

1. Modificación de las funciones del antivirus instalado en la máquina víctima, o eliminación de este, según privilegios obtenidos en el sistema.

2. Introducción de distintas herramientas para la monitorización y análisis de tráfico de red, escáneres de puertos y servicios con los que poder identificar otras máquinas en la red, etc.

3. Introducción y ejecución del ransomware para realizar el secuestro de datos de todas las unidades y sistemas a los que haya podido tener acceso.

4. Eliminación de huellas. En ocasiones es el propio ransomware el encargado de realizar la escalada de privilegios, eliminación de copias de respaldo y eliminación de eventos de seguridad.

En un próximo artículo trataremos de analizar un ransomware específico donde veremos las funciones que realiza más detalladamente.


5. Conclusiones


En este artículo hemos visto superficialmente la metodología que emplean ciertos grupos criminales para ingresar en sistemas informáticos, mediante la explotación de sus servicios de escritorio remoto (RDP).

De esta manera hemos podido ver cómo se llevan a cabo distintos tipos de ataque RDP, mediante la explotación de servicios desactualizados, o mediante la vulnerabilidad que supone una mala configuración en el uso de credenciales de acceso débiles o por defecto.

De este modo un grupo cibercriminal puede llevar a cabo intrusiones con las que poder distribuir su malware (ransomware, troyanos, etc.) y secuestrar y/o exfiltrar los datos de organizaciones empresariales, con todos los problemas referentes al Reglamento General de Protección de Datos (RGPD) que ello puede suponer a las víctimas del ciberataque.

De estar interesado en adquirir conocimientos introductorios a hacking ético puede optar por matricularse en nuestro curso básico de hacking ético, o si prefiere adquirir conocimientos más avanzados en ciberseguridad ofensiva puede adquirir nuestro curso avanzado.

No puedes copiar el contenido