Как хакеры-брутфорсеры узнают имя домена?
 

Добрый вечер, коллеги. Сегодня в очередной раз услышал историю про то, как взломали сервер, торчащий наружу 3389-м портом. После взлома, естественно, ковыряния в логах, которое показало, что брутили пароли довольно долго. Не обращаю внимания на такие рассказы, т.к. давно известно, что если торчать мордой в нет, то тебя постоянно будут брутить/ддосить/сплоить... Однако, сегодня мысль огненным прутом обожгла: я же не знаю, как узнать домен, пользователи которого имеют разрешение на RDP! Подскажите, как можно это сделать и как это предотвратить? Насколько я понимаю, злобные хакеры тупо брутят по перечню имен (Administrator, Администратор, root, admin и т.д.) и по распространённым паролям. Но в услышанных мною за последние 8-9 месяцев историях про взлом по RDP гарантированно было одно: доступ к RDP был разрешён только одной-двум доменным учёткам, которые и были сбручены.
Итак, ещё раз суть вопроса: как узнать из интернета в каком домене находится RDP-сервер?

по моим наблюдениям в логах брутов брутят .\%username%, а не доменную учётку.

Ни одной локальной учётки не было. Только доменные.

а точно снаружи?

Ага. Китай, Малайзия, Эквадор и проч :-)

Кстати, а как локальные учётки брутят? Вот я создал локального админа abyrvalg, это же надо как-то список пользователей/групп получить, что бы догадаться, что этот пользователь существует на этой тачке.

и никто его не сбрутит.

в общем ситуацию, как вы описали я ещё не встречала, хотя периодически разбираю логи брутов.
из вашего описания я бы сделала вывод, что список ваших доменных аккаунтов просто слит заранее. возможно, это связка троян+брутер.
ну это если предположить, что ваши доменные аккаутны не равны director, buhgalter и тд ;)

Ну вот, сейчас новость прилетела: сбрутили по RDP учётку energy (в этот раз локальную) с паролем XDr5tytu!.
Вот и не укладывается у меня в голове, как это происходит. Просто если предположить, что у меня есть список имён пользователей и список самых распространённых паролей. В первом списке 10 000 имён, во втором 10 млн. паролей. Вероятность подбора очень сильно от единички отличается. Время подбора - просто зашкаливает: оба списка пройти, сгенерировав 100-миллиардную комбинацию - это проблематично оставить незаметным, да ещё и в приемлемые сроки (!!!). Вот и начали просыпаться комплексы :-) ибо не могу даже предположить, как такое можно сделать.

Возможно вирус кейлогер. Сканит логины и пароли, если вы пользуетесь этой учеткой. (первое что в голову пришло)

В смысле сканит?

Я же ясно написал: понять, как можно это сделать и как это предотвратить!
Извините, не понял, про каких знакомых разговор и что у них я должен спросить и о чём договориться?