Rms ошибка авторизации через систему безопасности сервера

Ошибка авторизации через систему безопасности сервера
Цитировать выделенное	Добрый день Алексей. Есть такая ошибка при использовании своего сервера. Ошибка авторизации через систему безопасности сервера Пароль не правильный либо произошла ошибка. Вот текст из лога Ошибка: Error TMyOpenSSLSocket.ReadStream. (EMyOpenSSLException). Переустановка клиента не помогает.  Помогает только перезагрузка пк date/time          : 2022-09-21, 16:59:21, 807ms computer name      : SPB-PC-KC-02 user name          : СИСТЕМА <admin> registered owner   : comp02 operating system   : Windows 10 x64 build 19044 system language    : Russian system up time     : 6 days 23 hours program up time    : 6 days 23 hours processors         : 2x Intel(R) Celeron(R) CPU G550 @ 2.60GHz physical memory    : 1130/4033 MB (free/total) free disk space    : (C 55,41 GB display mode       : 1024×768, 32 bit process id         : $1024 allocated memory   : 43,14 MB largest free block : 836,15 MB command line       : «C:Program Files (x86)Remote Manipulator System — Hostrutserv.exe» -service executable         : rutserv.exe exec. date/time    : 2022-05-16 01:57 version            : 7.1.3.0 callstack crc      : $2bfc1bb5, $8084c1e3, $8084c1e3 exception number   : 2 exception class    : EMyOpenSSLException exception message  : Error TMyOpenSSLSocket.ReadStream. thread $2510 (TMyOpenSSLMsgTransportThread): 007de591 +0ad rutserv.exe  uOpenSSLUtils   1397 +32 TMyOpenSSLSocket.ReadStream 007de597 +0b3 rutserv.exe  uOpenSSLUtils   1397 +32 TMyOpenSSLSocket.ReadStream 007de62f +037 rutserv.exe  uOpenSSLUtils   1410  +5 TMyOpenSSLSocket.ReadInt32 007df72d +295 rutserv.exe  uOpenSSLUtils   1930 +84 TMyOpenSSLMsgTransportThread.Execute 004b9ddf +02b rutserv.exe  madExcept                HookedTThreadExecute 004b9e4a +096 rutserv.exe  madExcept                HookedTThreadExecute 00541dd5 +049 rutserv.exe  System.Classes 15711 +18 ThreadProc 00541e38 +0ac rutserv.exe  System.Classes 15740 +47 ThreadProc 0040af7c +028 rutserv.exe  System         25395 +45 ThreadWrapper 004b9cc5 +00d rutserv.exe  madExcept                CallThreadProcSafe 004b9d2a +032 rutserv.exe  madExcept                ThreadExceptFrame 004b9da0 +0a8 rutserv.exe  madExcept                ThreadExceptFrame 760cfa27 +017 KERNEL32.DLL                          BaseThreadInitThunk >> created by thread $2104 (TIdThreadWithTask) at: 00541e9c +018 rutserv.exe  System.Classes 15769  +1 TThread.Create main thread ($1028): 00000000 +ffbc3fe0 rutserv.exe madStackTrace +0 StackAddrToStr >> stack will be calculated soon cpu registers: eax = 02339920 ebx = 007d8408 ecx = 00000000 edx = 05d9c998 esi = 00000000 edi = 004b9cf8 eip = 007de596 esp = 06dffdd0 ebp = 06dffe24 stack dump: ХХХХХХХХХХХХ disassembling: ХХХХХХХХХХХХ
Профиль | Сообщений: 8 | Дата создания: 06.10.2022 02:12:38
Re: Ошибка авторизации через систему безопасности сервера
alex Модератор Цитировать выделенное	anatol.gredyagin, это условная ошибка (т.е. ошибкой она не является). а причина в том, что нет доступа. возможно, поменялся сертификат Сервера или какие-то еще причины. Зачастую бывает, когда на Сервере указывают какие-то настройки, без понимания для чего они нужны, например, PIN код.
Профиль | Сообщений: 3290 | Дата создания: 06.10.2022 04:07:36
Re: Ошибка авторизации через систему безопасности сервера
anatol.gredyagin Цитировать выделенное	Да, на сервере установлн pin Я так понимаю он для большей безопасности.
Профиль | Сообщений: 8 | Дата создания: 06.10.2022 21:39:37
Re: Ошибка авторизации через систему безопасности сервера
anatol.gredyagin Цитировать выделенное	Алексей, Вы можете дать ссылку на описание, для чего нужен pin?
Профиль | Сообщений: 8 | Дата создания: 08.10.2022 20:29:16
Re: Ошибка авторизации через систему безопасности сервера
alex Модератор Цитировать выделенное	anatol.gredyagin, PIN-код нужен для того, чтобы у сторонних пользователей не было доступа к ID транспорту. Но нужно понимать, что это скорее «защита от дурака», т.к. если у злоумышленника есть доступ хотя бы к одному настроенному PIN-кодом Хосту или Клиенту, он его, при определенных навыках, может извлечь. Ряд пользователей это устраивает и они, все равно, требуют защиту от дурака, вот мы пошли им на встречу и реализовали PIN. если понимания, зачем нужен PIN все равно нет, я бы не рекомендовал им пользоваться.
Профиль | Сообщений: 3290 | Дата создания: 09.10.2022 17:43:58
Re: Ошибка авторизации через систему безопасности сервера
anatol.gredyagin Цитировать выделенное	получается, что функционал, заложенный в программу, но он не всегда работает. В некоторых случаях мы получаем данную ошибку. При идентичной конфигурации ошибки нет. Как можно разобраться с данной ошибкой? После перезагрузки клиента данная ошибка уходит. Но после, не перезагружая клиента не получается подключиться и в логе опять данная ошибка.
Профиль | Сообщений: 8 | Дата создания: 10.10.2022 23:27:51
Re: Ошибка авторизации через систему безопасности сервера
alex Модератор Цитировать выделенное	anatol.gredyagin, если отключить PIN ошибка есть?
Профиль | Сообщений: 3290 | Дата создания: 10.10.2022 23:58:36
Re: Ошибка авторизации через систему безопасности сервера
anatol.gredyagin Цитировать выделенное	Не помогает.Отключил на сервере, перезапустил сервер. Не могу подключиться к клиенту, та же ошибка. А что получается, если свой сервер опубликован в интернет, и нет pin, то любой желающий может этот сервер использовать в качестве удаленного сервера для обслуживания клиентских подключений?
Профиль | Сообщений: 8 | Дата создания: 12.10.2022 23:08:06
Re: Ошибка авторизации через систему безопасности сервера
alex Модератор Цитировать выделенное	anatol.gredyagin, нужно смотреть логи Сервера. anatol.gredyagin писал(а): А что получается, если свой сервер опубликован в интернет, и нет pin, то любой желающий может этот сервер использовать в качестве удаленного сервера для обслуживания клиентских подключений? сможет, только будет ли? если злоумышленнику попадется в руки дистрибутив, где прописан данный Север, он и PIN код сможет достать. если нужна настоящая защита, то там можно использовать ту же систему безопасности Сервера.
Профиль | Сообщений: 3290 | Дата создания: 12.10.2022 23:11:30
Re: Ошибка авторизации через систему безопасности сервера
anatol.gredyagin Цитировать выделенное	Сложно спрогнозировать что злоумышленник будет делать, что будет использовать. Что касается системы безопасности сервера, скажите вы что имеете ввиду?
Профиль | Сообщений: 8 | Дата создания: 12.10.2022 23:45:54
Re: Ошибка авторизации через систему безопасности сервера
anatol.gredyagin Цитировать выделенное	И можете уточнить, в какой папке смотреть логи сервера, спасибо! Я не могу найти логи подключения. На сервере включено журналирование ошибок, событий и соединений.
Профиль | Сообщений: 8 | Дата создания: 12.10.2022 23:54:18
Re: Ошибка авторизации через систему безопасности сервера
alex Модератор Цитировать выделенное	anatol.gredyagin, напишите в поддержку support@tektonit.com (рекомендуется указать, какой лицензией вы пользуетесь)
Профиль | Сообщений: 3290 | Дата создания: 13.10.2022 12:47:15

Данный метод авторизации не включен в настройках удаленного хоста

Цитировать выделенное

Ошибка авторизации через систему безопасности сервера

Периодически невозможно подключиться. Пишет: Данный метод авторизации не включен в настройках удаленного хоста.
Проблема возникает на разных подключениях. То они работают, то данное сообщение. Иногда помогает закрытие Viewer 6.10.3 (Лицензия HELPDESK), а потом запуск.
При этом на RMS HOST 6.8 вход нормальный.

Mini Internet-ID сервер 2.7.5.0, Windows Server 2012 — 300 подключений. сеть 100Мбит (Оптика), порты проброшены

RMS 6.9.10.3, RMS 6.9.4 — Win7 и 10
Методы авторизации Пароль и Пользователь RMS c паролем.
Viewer 294 соединений, интерфейс подтормаживает. Inte 7, SSD, 8 Gb ОЗУ
Антивирус dr.WEb в исключения добавлены exe  программ.

Подскажите возможные причины?

Профиль |
Сообщений:
14 |
Дата создания:
15.01.2019 13:48:15

Re: Данный метод авторизации не включен в настройках удаленного хоста

alex

Модератор

Цитировать выделенное

sergeyfs,
в первую очередь, нужно смотреть лог Хоста.
в свойствах пользователя на Сервере установлен ли флажок «Принудительно использовать систему безопасности сервера»? Профиль |
Сообщений:
3290 |
Дата создания:
15.01.2019 14:05:45

Re: Данный метод авторизации не включен в настройках удаленного хоста

sergeyfs

Цитировать выделенное

Да установлен. Профиль |
Сообщений:
14 |
Дата создания:
15.01.2019 14:08:48

Re: Данный метод авторизации не включен в настройках удаленного хоста

sergeyfs

Цитировать выделенное

Убрал, Спасибо — помогло. Профиль |
Сообщений:
14 |
Дата создания:
15.01.2019 14:14:41

Re: Данный метод авторизации не включен в настройках удаленного хоста

alex

Модератор

Цитировать выделенное

sergeyfs,
sergeyfs писал(а):

Убрал, Спасибо — помогло.

но это тоже не всегда выход. ответил в тикете. Профиль |
Сообщений:
3290 |
Дата создания:
15.01.2019 14:17:32

Re: Данный метод авторизации не включен в настройках удаленного хоста

eve511

Цитировать выделенное

Добрый день, такая же проблема, какое есть решение? галочку убирал не помогло, версия последняя Профиль |
Сообщений:
2 |
Дата создания:
30.11.2020 10:12:13

Re: Данный метод авторизации не включен в настройках удаленного хоста

alex

Модератор

Цитировать выделенное

eve511,
что-то не правильно настроено. начните с того, чтобы удалить все настройки Сервера HKEY_LOCAL_MACHINESOFTWARETektonITRemote Manipulator SystemMiniInternetId
затем поэтапно меняйте настройки, каждый раз проверяя работоспособность. Профиль |
Сообщений:
3290 |
Дата создания:
30.11.2020 14:46:49

Разрешите вас отадминить?

Главным врагом хакеров (не будем спорить об изначальном значении этого слова — сейчас мы будем этим термином обозначать тех, кто занимается созданием/распространением вредоносных программ) являются антивирусы, которые с той или иной степенью успешности обнаруживают их поделки и удаляют. Одним из способов предотвращения обнаружения незаконной деятельности и используемых для этого утилит является попытка «заставить» легальное ПО служить своим целям. Например, зачем что-то скачивать из интернета самому, рискуя попасть в немилость у фаервола или эвристика (не говоря о сигнатурах), если можно запустить wget с параметрами? Зачем городить свою отправку корреспонденции, если есть blat? Зачем долго и упорно делать утилиту удаленной слежки за компьютером, когда есть бесплатные программы удаленного администрирования?

В последнее время наибольшую популярность у разношерстной хакерской братии снискала программа Remote Manipulator System (RMS) производства отечественной компании TektonIT.

Причин этому несколько, но перейти к их перечислению достаточно сложно — что-бы не восприняли как рекламу, просто перечислим основные функции:

1. Возможность скрытой установки и работы;
2. Связь через сервер, а не к IP напрямую;
3. Возможность управления большим парком компьютеров;
4. ПО легально, имеет ЭЦП;
5. Файлы самой программы детектируются небольшим количеством антивирусов — ничего даже криптовать не нужно (5-20 в зависимости от версии);
6. Простота использования на уровне средних классов школы.

Если кратко, то технологическая суть работы такова:

1. На компьютер «жертвы» в скрытом режиме устанавливаются файлы RMS, причем иногда даже с помощью официального инсталлера, хотя чаще «вручную» — скрипт кладет файлы в нужную папку и запускает их «тихую» регистрацию или регистрирует их сам;
2. Хозяину на почту приходит ID и пароль;
3. В ботнете +1.

Реализуется это в виде SFX-архива с bat-файлом, который все сделает или в виде NSIS-инсталлера. В помощь начинающим есть много статей с красивыми скриншотами, где подробно описывается, как создавать такой архив… батник и сами файлы к статье, естественно, приложены. Для особо одаренных снимаются даже видео-мануалы (в большом количестве) и делаются «билдеры» — красивое окошечко, куда надо ввести свои данные (куда пароль и ID отправлять) — и все сделается само.

В сознании некоторых интеллектуалов настолько прочно закрепилось, что RMS это хакерская утилита, что они даже… в общем смотрите сами:

А с другой стороны баррикад тоже не все спокойно — нервные админы и пользователи штурмуют саппорт вопросами «доколе?!» — то один антивирус что-то удалит, то другой, то пользователи подозревают админа. Саппорт разводит руками, предлагает писать напрямую антивирусам, дескать, чем больше напишут, тем скорее удалят ложное срабатывание. Потом выпускают новую версию — там детектов нет, но через некоторое время снова появляются и все возвращается на круги своя.

Но есть еще и третья сторона баррикад, которую обычно никто не замечает и вообще не считает стороной, ведь у стены вообще две стороны, как принято считать, но тут не все так просто, есть еще антивирусы, которые держат круговую оборону: нужно защищать пользователей от злобных хакеров, нужно общаться с менеджерами/юристами из TektonIT и отмахиваться от админов, вопрошающих про неудобства, дескать наша контора платит за антивирус не для того, чтобы он легальное ПО сносил под корень.

На текущий момент антивирусная наука дошла до следующих высот:

1. Именем детекта в меру фантазии пытаются донести информацию о том, что это такое (встречаются следующие составные части имен: RemoteAdmin, RMS, Riskware, RemoteUtilities, not-a-virus… и т.д, и даже по три штуки таких вот подсказки некоторые умудряются в имя детекта всунуть);
2. Алерты на подобное ПО отличаются более мягкой цвето-звуковой гаммой, дабы не выводить пользователя из состояния душевного равновесия;
3. Детектирование подобного класса ПО можно целиком отключить в настройках антивируса;
4. И еще — это сугубо «национальная» проблема — дальше СНГ обычно это не распространяется. Программа русская, билдеры на русском, распространяется спамом и социальной инженерией, поэтому большинство зарубежных антивирусных компаний попросту не в курсе, что тут у нас такое творится. Конечно, в их вирлабы файлы поступают (с того же самого virustotal), но им, судя по всему, плохо видна ситуация в нашем регионе, а вот российские антивирусы и некоторые зарубежные (у кого большой штат в нашей стране) в меру своих сил стараются попортить крови вирусмейкерам.

Вот как обстоят дела с билдером с NSIS:

В этом билдере даже вводить ничего не нужно — на почту отсылки нет, ID+pass генерируются на этапе сборки и сохраняются в файл. Данная поделка для уменьшения количества сигнатурных детектов использует достаточно популярный способ — создание архива под паролем: все файлы RMS находятся в запароленном архиве, а при установке в параметрах командной строки архиватору (он на борту) дается пароль к архиву. Такой финт позволяет обойти проверку файла на диске (обычно антивирусы не брутят пароли), но (при наличии детекта) при установке файлы будут распакованы и обнаружены антивирусным монитором (если он включен, конечно).

Отдельным классом можно поставить патченные версии RMS — когда посредством реверсинга исследуется файл и из него «вырезается» (нопается, джампается) лишний функционал, например, отображение пользователю окна о том, что данные о доступе на его компьютер будут направлены на такой-то e-mail адрес (начиная с одной из версий появился такой функционал). Иногда патчинг применяется для сбития детектов антивирусов и для маскировки (перебивается versioninfo, строки в файле), в итоге файл через некоторое время начинает детектироваться уже не как Remote Tool (об этих детектах сказано выше), а как троян или бэкдор, причем по злому — не 10 антивирусами, а 30… ведь подпись на файл слетает в таком случае и это получается с точки зрения отвлеченного вирлаба в вакууме уже обычный зловред.

В некоторых случаях билдер служит только для записи в текстовый ini-файл с настройками, а вся работа по патчингу/конфигурированию самого билда сделана уже автором.

Вот пример такого билдера:

Иногда могут использоваться костыли в виде скриптов, мониторящих появление окон от RMS для их моментального сокрытия и даже в виде библиотеки dll, которая поставит в процессе нужные хуки и будет менять логику работы процесса в сфере отображения окон. Эти двухстрочные скрипты практически не детектируются, а библиотека обнаруживается более, чем 30 антивирусами, чем сильно подвергает риску всю операцию, потому она применяется крайне редко.

Если искать в поисковике имена детектов на RMS, то можно видеть, что для широкой публики (а не для ручного заражения с помощью соц.инженерии читеров в чате) используются комбинации, получающиеся не из паблик-билдеров, а из статей об этом — судя по форумам такие сборки продаются и даже билдеры к ним, их суть в том, что инсталлирование производит bat-файл — устанавливает в скрытом режиме легальный msi-инсталлер. Соответственно, у антивируса только две возможности пресечь это — детектировать bat-файл (а их легко изменять и «сбрасывать» детекты) и сами файлы RMS. Если же антивирус не детектирует конечные файлы, а во время попадания такого троянского слона на компьютер детекта на batник не было, то все тщетно — даже если следующими обновлениями он начнет детектироваться, то будет поздно, т.к для работы RMS он уже не нужен и его можно сдавать в утиль с чистой совестью.

Хочется отметить, что данный инструмент используют как начинающие хакеры (школьники, скрипт-киддисы и т.д), так и «работающие на постоянной основе», те, для кого это хлеб. Подобные доступы продаются на форумах сотнями по смешным ценам:

Подобные атаки используются не только для добычи уже привычного профита (пароли, деньги), но и для продажи людям с избытком каких-то гормонов — доступы к компьютерам девушек, которые часто находятся перед компьютером в раздетом виде.

Уже в процессе написания этой статьи, «Лаборатория Касперского» 11 сентября опубликовала«Расследование инцидентов: хищение в системе ДБО», что придало нам вдохновения, дескать «правильным путем идете, товарищи!», ведь там фигурировал именно исследуемый нами класс вредоносного ПО — именно им было произведено заражение. Поэтому мы решили достать описываемый зловред и дополнить статью Лаборатории Касперского новыми плюшками…

Описываемая рассылка эксплоита была произведена в января 2014 года. При открытии документа производилась закачка и запуск файла, который из себя представлял 7z-sfx архив, распаковывающий архив паролем COyNldyU, передав его командной строкой (у ЛК мог быть другой билд данного зловреда, немного другой модификации, но они крайне близкие родственники — все поведение и имена совпадают практически полностью). После чего запускался bat-файл, извлеченный из запароленного контейнера, который производил установку в систему файлов RMS (патченных). Данный батник интересен тем, что работал крайне корректно — предварительно пытался удалить самого себя из системы прибитием процессов и завершением/удалением служб, а также проверял права в системе, в случае недостатка которых мог устанавливаться в %APPDATA%MicrosoftSystem, а настройки писать в HKCUSOFTWARESystemSystemInstallWindowsUserServerParameters.
Также осуществлялся патчинг и апдейт виндового RDP (судя по всему, чтобы при удаленном подключении текущего юзера не выкидывало), путем запуска кучи консольных утилит в скрытом режиме.

В заключение мы бы хотели познакомить с ситуацией по детектам.

Номинации следующие:

1. Детект файла rutserv.exe из разных версий RMS. Чтобы не помогать в этом деле хакерам (слишком наглядно будет видно какую версию какое количество и каких антивирусов обнаруживает) сделаем следующим образом: Если антивирус обнаруживает не менее 75% — ему плюс, менее половины — минус, оставшийся интервал даст ±;
2. Детект файла из под второго билдера (он всегда одинаков, а конфиг разный);
3. Детект bat-файлов для установки RMS в систему — взяли их из разных статей о самостоятельной сборке данного зловреда и несколько с форумов, где наоборот пытаются эту заразу реверснуть/избавиться и выкладывали файлы. Оформление результатов — аналогично первому пункту;
4. Bat-файл, описанный в статье от KasperskyLab.

Собственно, на изображении результаты видны, но мы попробуем дать им свою трактовку:

1. Как и следовало ожидать, три российских антивируса показали очень достойные результаты, что говорит об их пристальном внимании по отношению к данному классу вредоносного ПО. Касперский традиционно показывает хорошие результаты, Dr.Web практически полностью ориентирован на внутренний рынок (особенно гос. конторы и крупный бизнес), команда Outpost — создатели легендарного фаервола, как оказалось тоже упорно борются с супостатом… А зарубежным антивирусам мы предлагаем «в три раза увеличить крайнюю озабоченность».

2. Товарищи (VBA32) из братской республики Беларусь как-то немного странно отнеслись к данному семейству. Возможно, что нечаянно…, но если нам хочется поиграть в конспирологию, то сложится достаточно интересный пазл: во-первых, этот антивирус сугубо внутренний — гос. предприятия на нем, во-вторых, их КГБ уже было замечено в любви к заражению своих граждан программкой RMS. Связаны ли эти пункты между собой — вопрос открытый, достоверность второго пункта нотариально также не заверялась, но почитать материал по ссылке мы все же советуем хотя бы из-за комментариев «программиста-крэкера» — в свете всего нами вышеизложенного вы сможете оценить, какой он несет бред. Их сборка RMS (раз уж про нее заговорили) также не представляет из себя ничего выдающегося: архив+костыль+архив+батник+россыпью файлы RMS.

Эпилог

Не вывод, а именно эпилог. Мы не знаем какие из этого можно сделать выводы. Если бы это был диплом/автореферат, то, согласно правилам, мы бы тут порастекались по древу, а так… Из того, что мы наисследовали, постарались рассказать самое интересное и полезное, чтобы читатель не заснул — разбавили веселыми картинками и постарались не перегружать статью терминологией и узкопрофильными моментами (аля листинги асм-кода, скриншоты с подчеркиванием важных мест красным). Наши слова о слежке через камеру за не сильно одетыми лицами (и не только) слабого пола мы все-таки не решились иллюстрировать скриншотами. Надеемся, что статья от этого не стала менее содержательной и интересной.

Спасибо за внимание.