6. SCAN MS Terminal Server Traffic on Non-standard Port

1. Nhận diện

a. Trên giao diện giám sát SOC

b. Trên giao diện Kibana

2. Mô tả

Trong quá trình quản trị hoặc sử dụng, người dùng có xu hướng thay đổi port truy cập của ứng dụng Remote Desktop. Điều này giúp người dùng dễ dàng truy cập vào các máy chủ ảo trên cùng 1 máy chủ vật lý. Kẻ tấn công từ phía ngoài sẽ scan và sử dụng payload tương ứng để thu thập thông tin trái phép

3. Các thông tin cần thu thập

• Xác định IP nguồn và IP đích của cảnh báo

• Xác định nội dung payload được gửi đi trên giao diện Kibana bằng cú pháp lệnh

  agent.name: [tên sensor] AND srcip: [IP ngu?n] AND dstip: [IP ?ích] AND ips.msg: "ET SCAN MS Terminal Server Traffic on Non-standard Port"

Ví dụ

agent.name: xxx AND srcip: x.x.x.x AND dstip: x.x.x.x AND ips.msg: "ET SCAN MS Terminal Server Traffic on Non-standard Port"

• Lấy nội dung trường payload (ips.payload) trong thông tin cảnh báo

• Giải mã nội dung mã hóa bằng decode base64 thông qua việc sử dụng website decode online (https://www.base64decode.org) hoặc tool decode base64

4. Kiểm tra và xử lý

a. Kiểm tra

• Tiến hành kiểm tra thông tin về IP nguồn thực hiện scan

• Kiểm tra destination port và dịch vụ tương ứng của IP đích đang bị scan

b. Xử lý

Sau khi kiểm tra các thông tin như đã nêu ở bước trước, Nhóm Giám sát tiến hành xử lý theo các bước như sau:

• Bước 1: Thông báo và trao đổi với owner của IP đích đang bị scan, làm rõ về dịch vụ đang chạy trên destination port bị scan. Port dịch vụ đó có được chủ động cấu hình để mở hay không

• Bước 2: Cung cấp thông tin về IP nguồn thực hiện scan. Các mối nguy hại tiềm tàng từ IP scan là gì? Có ảnh hưởng như thế nào đến IP đích

• Bước 3: Sau khi trao đổi với owner, thực hiện khuyến nghị hoặc yêu cầu thực hiện cấu hình Firewall chặn IP nguồn thực hiện scan vừa được xác định

5. Sơ đồ xử lý