Wazuh ile RDP Brute Force Saldırısını Tespit Etme

1. RDP Nedir ?

RDP’nin açılımı Remote Desktop Procol’dür. Türkçe karşılığına uzak masaüstü bağlantısı diyebiliriz. RDP varsayılan olarak tcp/3389 portunda çalışır. Windows 10 Pro’da RDP’yi açmak için Ayarlardan sistem seçeneklerinden uzak masaüstü bağlantısını seçerek yapabilirsiniz.

2. Wazuh

Wazuh, ücretsiz, açık kaynaklı ve kurumsal kullanıma hazır bir güvenlik izleme çözümüdür. Ben Wazuh’u bilgisayarıma docker kullanarak kullanmayı tercih ettim bu şekilde daha pratik bir kullanımı olduğunu düşünüyorum. Docker kullanarak Wazuh’u bilgisayara kurmak için git clone https://github.com/wazuh/wazuh-docker.git -b v4.5.2 komutuyla wazuh docker reposunu bilgisayarımıza indiriyoruz.

cd wazuh-docker/single-node ile indirdiğimiz dizinin içerisindeki single-node klasörüne gidiyoruz. single-node dizinine gitmemizin sebebi 3 ayrı wazuh bileşenini tek bir seferde ayağa kaldırmak için böylesi daha pratik. Sonra # sysctl -w vm.max_map_count=262144 komutunu giriyoruz. sysctl Linux işletim sistemindeki kernel parametrelerini ayarlamak için kullanılır. -w ile hangi kernel parametresini ayarlamak istediğimizi söylüyoruz. vm.max_map_count bu parametre bellek eşlemelerinin(memory mappings) maksimum sayısını belirtir. Bellek eşlemesi, bir sürecin bellek alanını fiziksel bellek dışında başka bir depolama alanına bağlamasına izin verir. Genellikle büyük veritabanı sistemleri daha fazla bellek eşlemesine ihtiyaç duyarlar, bu komut ile bu tür yazılımların daha iyi performans göstermesine yardımcı olur. Sertifika oluşturma scriptini çalıştırıyoruz. $ docker-compose -f generate-indexer-certs.yml run --rm generator En son arka planda wazuhu ayağa kaldırmak için docker-compose up -d komutunu giriyoruz. Artık localhost’umuza gidersek Wazuh’un çalıştığını görebiliriz. Varsayılan kullanıcı adı admin, parola SecretPassword‘dür.

Agents sekmesinden Deploy New Agent seçeneğini seçiyoruz. İşletim sistemi olarak Windows’u seçiyoruz. Wazuh server address kısmına kendi ip adresimizi yazıyoruz çünkü wazuh kendi bilgisayarımızıda kurulu ip adresimizi öğrenmek için ip addr veya ifconfig komutlarını kullanabilirsiniz. En son altta oluşan komutu kopyalayıp Windows makinemizde yönetici olarak çalıştırdığımız PowerShell’e yapıştırıp çalıştırıyoruz.

NET START Wazuh komutu ile Wazuh Agent’imizi çalıştırıyoruz.

Saldırı ve Tespit

Hydra aracı ile RDP brute force saldırısını kolay bir şekilde gerçekleştirebiliyoruz.

Kullanım rahatlığı açısından grafik arayüzü üzerinden anlatacağım.

Username kısmına windowsdaki kullanıcı adımızı gireceğiz istersek bir liste burut force saldırısı için bir kullanıcı adı listeside verebiliriz. Password listesini için de hemen bir ufak dosya oluşturup içerisine bir kaç parola uydurabilirsiniz içerisinde gerçek parolada bulunsun.

cat passworldlist.txt 
3
4
55
6
777
4
1
2
4

Artık start sekmesinden saldırıyı başlatabiliriz.

şimdi Wazhu arayüzümüzden loglarımızı inceleyelim.

Ben bu yazıyı yazmadan önce bir kaç deneme yaptığım için bende loglar daha falzla gözüküyor, sizde bu kadar gözükmeye bilir. Burada dikkat etmemiz gereken rule.id’ler 60122 veya 60204.

rule.id: 60122 oturum açma hatalarını gösterir.

rule.id: 60204 birden fazla oturum açma başarısızlığını gösterir, bu da kaba kuvvet saldırıları anlamına gelir.

Aynı zamanda Windows’daki Event Viewer üzerinden de Event ID 4625 ve Event ID 4624’e dikat edebiliriz.

Event ID 4625 başarısız oturum açma girişimi anlamına geliyor ve Event ID 4624 ise başarılı oturum açma girişimi demek. Eğer art arda 4624 logları varsa bu bir brute force saldırısı anlamına gelir eğer bu girişimler sonucunda bir 4624 logu varsa başarılı bir brute force saldırısı demektir, umarım başınıza gelmez.