Computerbeveiliging - Hoe je bad guys buiten de deur houdt

AnyDesk blocking Guide

10-08-2024, 14:38 door [Account Verwijderd], 12 reacties
Laatst bijgewerkt: 10-08-2024, 14:39
Ik weet wel dat de meesten onder ons niet in oplichterstrucs trappen door AnyDesk te installeren (op verzoek van oplichters), maar als je AnyDesk niet nodig hebt, dan kun je de volgende instructies volgen (Windows, Linux) om een extra beveiligingslaag in te voeren. Dubbele beveiliging werkt namelijk beter dan enkelvoudige.

Deze instructies kun je lezen op de volgende website:
https://www.mediarealm.com.au/articles/block-anydesk-network-guide/ (1)

Op de webpagina UFW essentials staan de Terminal instructies voor Linux gebruikers.
https://www.digitalocean.com/community/tutorials/ufw-essentials-common-firewall-rules-and-commands (2)

Zelf heb ik een extra Firewall rule ingesteld waardoor het niet mogelijk is voor AnyDesk verkeer uit te laten gaan vanuit mijn systeem. De Firewall rule is deze:
$ sudo ufw deny out 6568/tcp

Deze laatste instructie is gebaseerd op de eerste website (1) en op die van digital ocean (2).
Reacties (12)
10-08-2024, 15:24 door Anoniem
Begin maar gewoon met een AppLocker policy die executables alleen toelaat in Windows en Program Files (2x) en weigert in Users.
En uiteraard altijd werken onder een niet-Admin user.
Dan voer je geen externe software uit.
10-08-2024, 18:07 door Anoniem
Of je zet een windows VM op met github/Pari030/GetIpByAnydesk repo en ze bang maken met hun IP adres.
10-08-2024, 20:13 door Anoniem
Door Cash is Koning: Ik weet wel dat de meesten onder ons niet in oplichterstrucs trappen door AnyDesk te installeren (op verzoek van oplichters), maar als je AnyDesk niet nodig hebt, dan kun je de volgende instructies volgen (Windows, Linux) om een extra beveiligingslaag in te voeren. Dubbele beveiliging werkt namelijk beter dan enkelvoudige.

Deze instructies kun je lezen op de volgende website:
https://www.mediarealm.com.au/articles/block-anydesk-network-guide/ (1)

Op de webpagina UFW essentials staan de Terminal instructies voor Linux gebruikers.
https://www.digitalocean.com/community/tutorials/ufw-essentials-common-firewall-rules-and-commands (2)

Zelf heb ik een extra Firewall rule ingesteld waardoor het niet mogelijk is voor AnyDesk verkeer uit te laten gaan vanuit mijn systeem. De Firewall rule is deze:
$ sudo ufw deny out 6568/tcp

Deze laatste instructie is gebaseerd op de eerste website (1) en op die van digital ocean (2).
Dat laatste heeft geen enkele nut omdat Anydesk ook over 80 en 443 gaat en het heeft maar 1 nodig.
Dus ga je ook even poort 80 en 443 voor alles blokkeren?


AnyDesk clients use the TCP-Ports 80, 443, and 6568 to establish connections. It is however sufficient if just one of these is opened.
https://support.anydesk.com/knowledge/firewall
11-08-2024, 19:18 door Anoniem
Door Anoniem:
Door Anoniem:
Deze laatste instructie is gebaseerd op de eerste website (1) en op die van digital ocean (2).
Dat laatste heeft geen enkele nut omdat Anydesk ook over 80 en 443 gaat en het heeft maar 1 nodig.
Dus ga je ook even poort 80 en 443 voor alles blokkeren?
Je kan ook alle poorten blokkeren. Dan zit in ieder geval de 'goede' er ook tussen, ook van alle andere RAS- en RAT-software
11-08-2024, 23:34 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Deze laatste instructie is gebaseerd op de eerste website (1) en op die van digital ocean (2).
Dat laatste heeft geen enkele nut omdat Anydesk ook over 80 en 443 gaat en het heeft maar 1 nodig.
Dus ga je ook even poort 80 en 443 voor alles blokkeren?
Je kan ook alle poorten blokkeren. Dan zit in ieder geval de 'goede' er ook tussen, ook van alle andere RAS- en RAT-software

Voor nog meer zekerheid, je kunt het hele OS en alle applicaties wipen , dan heb je ook alle software waar een RAT mee gedownload kan worden geblokkeerd.
12-08-2024, 13:59 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Deze laatste instructie is gebaseerd op de eerste website (1) en op die van digital ocean (2).
Dat laatste heeft geen enkele nut omdat Anydesk ook over 80 en 443 gaat en het heeft maar 1 nodig.
Dus ga je ook even poort 80 en 443 voor alles blokkeren?
Je kan ook alle poorten blokkeren. Dan zit in ieder geval de 'goede' er ook tussen, ook van alle andere RAS- en RAT-software

Voor nog meer zekerheid, je kunt het hele OS en alle applicaties wipen , dan heb je ook alle software waar een RAT mee gedownload kan worden geblokkeerd.
Waarom daar stoppen? Waarom niet gewoon de eind-gebruiker en hardware weghalen. Dat voorkomt zelfs veiligheid risico door de gebruker zelf ;)
13-08-2024, 12:21 door Bitje-scheef
Ik heb nog ouderwetse blocknotes in de aanbieding, gratis pen/potlood en gummetje.
13-08-2024, 13:06 door Anoniem
OPNsense of pfSense iemand?
13-08-2024, 13:18 door Bitje-scheef
Door Anoniem: OPNsense of pfSense iemand?

OPNnsense is de net betere optie ivm snellere ondersteuning van nieuwere hardware.
Beter dashboard in de nieuwe versie.

Pfsense gaat trouwens de Community Edition overhoop gooien, is nu al niet meer te downloaden (wel op alternatieve sites of via oude links). Netgate verplicht je de plus editie te downloaden.
15-08-2024, 14:59 door Briolet
In mis inderdaad de meest effectieve methode die in de eerste link staat. Zorg dat je geen IP adres kunt opvragen via een DNS request. Dus zet het domein "anydesk.com" op je blocklist van een pi-hole of vergelijkbaar.

IK zou het domein op de blacklist van onze DNS server zetten zodat geen PC binnen het netwerk nog contact met de anydesk thuisbasis kan leggen. En bij gebrek aan de mogelijkheid van een dns blocker kun je hem ook per device via de hosts file blokkeren. Omdat Anydesk steeds wisselende IP adressen gebruikt, zullen ze nooit via een hardcode IP verbinden.
16-08-2024, 16:29 door Anoniem
Ik zou zelf naar minder conventionele methodes kijken en de uitvoer van de software simpelweg saboteren.

Als je weet waar Anydesk zijn tijdelijke bestanden opslaat die het nodig heeft voor het werken van het programma kun je simpelweg een van die directories of bestanden immutable maken. Die truuk gebruikte we ook in verleden om bepaalde software te voorkomen dat de neiging had honderden poorten te kunnen pogen en niet op executable name te blocken was door te veel variaties.

Je kan dan ook filteren op specifieke toegang blokkade in je logs en een auto alert genereren. Iets als auditctl kan je daarvoor gebruiken en de data dan parsen naar een sms modem bijvoorbeeld of een dashboard. Uiteraard wel goed afbakenen, anders heb je een audithell.

En omdat het geen connectie aanpassingen vergt, ga je het ook niet terugvinden in je netwerk logs of de boel trager ermee maken want wie houdt er nu niet van minder firewall rules en schonere logs. De eindgebruiker in kwestie krijgt een nietszeggende melding waar een bad actor ook niks mee kan en zonder root rechten wens ik je veel succes om een bestand van immutable af te halen. En als je zelf niet meteen de melding ziet komt de eind-gebruiker vanzelf naar je toe met de vraag of je hun kan helpen met de foutmelding.

Kan ook in Windows natuurlijk zelfs makkelijker dan Linux gezien je simpelweg een applicatie als sysinternals procexplore kan runnen en vervolgens exact kunt zien waar de kritieke data wordt opgeslagen. Let wel op dat je dat ook doet voor de portable versie en niet alleen een installatie versie.

Bijkomend voordeel developers herschrijven zelden hun core, engine, applicatie data dus al switchen ze van datacenter locaties omdat je het op data blokkeert en niet op netwerk is het relatief veilig voor alle toekomstige versies van de applicatie.

Bovenstaande is voor beveiliging van groepen gebruikers niet puur een single system wat je zelf beheerd en enkel jij op werkt. Want als je in de IT zit en in deze social engineering amateur onzin zelf trapt dan stop met je werk en ga wat anders doen.
17-08-2024, 21:33 door Anoniem
Door Anoniem: Ik zou zelf naar minder conventionele methodes kijken en de uitvoer van de software simpelweg saboteren.

Als je weet waar Anydesk zijn tijdelijke bestanden opslaat die het nodig heeft voor het werken van het programma kun je simpelweg een van die directories of bestanden immutable maken. Die truuk gebruikte we ook in verleden om bepaalde software te voorkomen dat de neiging had honderden poorten te kunnen pogen en niet op executable name te blocken was door te veel variaties.

Je kan dan ook filteren op specifieke toegang blokkade in je logs en een auto alert genereren. Iets als auditctl kan je daarvoor gebruiken en de data dan parsen naar een sms modem bijvoorbeeld of een dashboard. Uiteraard wel goed afbakenen, anders heb je een audithell.

En omdat het geen connectie aanpassingen vergt, ga je het ook niet terugvinden in je netwerk logs of de boel trager ermee maken want wie houdt er nu niet van minder firewall rules en schonere logs. De eindgebruiker in kwestie krijgt een nietszeggende melding waar een bad actor ook niks mee kan en zonder root rechten wens ik je veel succes om een bestand van immutable af te halen. En als je zelf niet meteen de melding ziet komt de eind-gebruiker vanzelf naar je toe met de vraag of je hun kan helpen met de foutmelding.

Kan ook in Windows natuurlijk zelfs makkelijker dan Linux gezien je simpelweg een applicatie als sysinternals procexplore kan runnen en vervolgens exact kunt zien waar de kritieke data wordt opgeslagen. Let wel op dat je dat ook doet voor de portable versie en niet alleen een installatie versie.

Bijkomend voordeel developers herschrijven zelden hun core, engine, applicatie data dus al switchen ze van datacenter locaties omdat je het op data blokkeert en niet op netwerk is het relatief veilig voor alle toekomstige versies van de applicatie.

Bovenstaande is voor beveiliging van groepen gebruikers niet puur een single system wat je zelf beheerd en enkel jij op werkt. Want als je in de IT zit en in deze social engineering amateur onzin zelf trapt dan stop met je werk en ga wat anders doen.
Dat is eenvoudig!
Dat kan mijn tante Truus ook.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.