Anydesk es una aplicación de "control" remoto simple que generalmente se utiliza para conectarte a otro equipo y poder gestionarlo. La aplicación es de origen alemán, y ofrece funciones de control remoto, transferencia de archivos y VPN. La tenemos disponible como aplicación instalada en tu dispositivo y como aplicación portable.
Dicha aplicación gano mucha popularidad, la cuál mantiene a día de hoy, cuando TeamViewer paso a ser de pago, así que y dado que Anydesk nos ofrece una versión gratuita, pues....
Bien sabemos que todas las aplicaciones remotas pueden ser mal utilizadas si no se configuran correctamente y no se obtienen buenas políticas. se puede utilizar para: fraude, piratería informática, compromiso del sistema, distribución de malware, exfiltración de datos, etc.
Y cuando ocurre un incidente relacionado con el uso indebido de AnyDesk, o en el análisis de datos se observa que existe esta aplicación, nos toca echarle un vistazo.
Lo primero que debemos de conocer es cómo funciona Anydesk:
|
Esquema de conexión Anydesk
|
Analizando la imagen observamos que el Equipo A llama al equipo B, pasando por el servidor de Anydesk para establecer la conexión y, una vez cumplido los parámetros de conexión, seguridad, autorización, etc. tenemos acceso.
Logs de Anydesk
En Anydesk encontramos cuatro logs, es decir, nuestros Artifacts a analizar, ellos son los siguientes:
- Connection log
- Ad.trace log
- Ad svc trace log (solo para la versión instalada)
- Chat log
Los logs, en la versión instalada, lo podemos encontrar en C:\ProgramData\AnyDesk
|
Logs Folfer Versión Instalada |
Mientras que los de la versión portable lo encontramos en %AppData%\Roaming\Anydesk
|
Logs Folder Versión portable
|
Vamos a ir viendo cada uno de ellos:
- Connection_trace.txt Log
En este archivo podemos ver el historial de conexiones entrantes a nuestra instancia de Anydeks, pero la información es limitada, se limita a mostrar, y por orden, Fecha/Hora, estado, alias e ID
|
connection_trace.txt |
- ad.trace LOG
En el registro de ad.trace podemos verificar el historial de eventos de conexión, eventos de error y notificaciones del sistema que ocurrieron en nuestro AnyDesk. Este registro se puede abrir con el Bloc de notas o cualquier aplicación de edición de texto.
|
ad.trace |
En este fichero podemos buscar eventos de conexión en el registro de ad.trace para conexiones entrantes y salientes como se muestra a continuación, podemos ver el ID de cliente que realiza la conexión, el cual podemos relacionar por fecha/hora con el registro del archivo anterior, además, nos muestra la IP de origen desde donde se realiza la conexión, servidor al que se conecta, etc. y cómo el socket está abierto:
|
Registro de conexión establecida en ad.trace |
En este punto tengo que hacer un inciso, yo uso la versión portable por lo que todos los registros quedan almacenados en el archivo ad.trace
Si estuviéramos ante una versión instalada, la información de conexión, ID, etc. quedaría repartida entre los archivos ad.trace y ad_svc.trace
- Chat Log
Pues como su nombre bien indica, si usamos la función de chat de la aplicación, quedará registrado ahí, con el nombre del ID que se conectó a nuestro equipo.
Dentro del directorio, podemos ver los directorios printer_driver y thumbnails, ahí encontraremos información de, por un lado, las impresoras conectadas al cliente de anydesk y por otro los fondos de pantalla del cliente cuando se realiza la conexión.
Lecciones aprendidas
Como se puede apreciar, la manipulación de estos logs puede llegar a ser una tarea muy sencilla por parte de un atacante en el caso de producirse un incidente, pero no estaría todo perdido...
Anydesk trabajo sobre unos puertos concretos, siendo el habitual el 7070 que es por el cuál realiza la conexión, así que si podemos obtener trazas de red podríamos investigar por ahí.
Otro de los caminos a seguir, sería obtener de los Artifacts de usuario los registros de inicio de la aplicación, estamos hablando de Userassits y Preftech (lo cual me da pie a otro post :) )
Como medida de seguridad lo primero que podemos hacer es asegurarnos de que todos los registros estén protegidos antes de conectarnos al entorno que utilizó AnyDesk. y el segundo, AnyDesk, tiene funciones de seguridad como 2FA, ACL y permiso de usuario. Así que sin en nuestra organización o tú de forma particular sois usuarios de Anydesk, asegúrate de habilitar todas las funciones que necesitemos antes de usarlo.
Estamos cansados de ver como muchos usuarios a menudo ignoran políticas de seguridad importantes que deben verificar antes de usar la aplicación de escritorio remoto; además, esta aplicación nos permite utilizarla de forma gratuita, pero eso no significa que tengamos que bajar la guardia.
Así que ya con nuestra evidencias podemos empezar a trabajar ;))
0 Comentarios