Port 445 je taký zvláštny typ sieťových dverí. Väčšina ľudí o nich nikdy nepočula, ale keď ich necháš otvorené nesprávnym smerom, niekto cez ne nemusí zaklopať. Rovná sa prezuje, vojde do chodby, pozrie sa do šuplíkov a ešte sa tvári, že tu býval odjakživa.
A presne preto hackeri milujú port 445. Nie preto, že by bol sám o sebe „zlý“. Port nie je zločinec. Je to len komunikačný bod. Problém je v tom, čo cez neho v sieti často beží, ako býva nastavený a koľko citlivých vecí sa za ním skrýva. Ak si chceš najprv spraviť širší obraz o tom, čo jednotlivé sieťové porty znamenajú, pozri si aj prehľad najdôležitejších portov a ich význam.
Port 445 sa najčastejšie spája so zdieľaním súborov a tlačiarní vo Windows sieťach. Používa ho SMB protokol (Server Message Block), ktorý umožňuje počítačom pristupovať k priečinkom, súborom, tlačiarňam a ďalším sieťovým zdrojom. V bežnej firme je to úplne normálna vec. Máš zdieľaný priečinok „Fakturácia“, „Výroba“, „Personalistika“, „Skeny“, „Projekty“ alebo legendárny priečinok „Dočasné“, ktorý má 80 GB a nikto netuší, kto ho vytvoril. A toto všetko často stojí práve na SMB.
Prečo je port 445 taký zaujímavý cieľ?
Predstav si firmu ako panelák. Každý byt má svoje dvere, niektoré majú bezpečnostný zámok, niektoré starú vložku, niektoré sú len privreté, lebo „veď tu sa nič nedeje“. Port 445 je ako spoločná chodba, cez ktorú sa vieš dostať k rôznym dverám. Ak má útočník slabé prihlasovacie údaje, starý systém, zle nastavené zdieľania alebo otvorený prístup z internetu, začína sa bezpečnostná telenovela.
Hackeri port 445 milujú hlavne preto, že cez neho môžu hľadať zdieľané priečinky, skúšať prihlasovacie údaje, zisťovať názvy počítačov, mapovať internú sieť a pri zlom nastavení sa šíriť ďalej. A ransomware presne toto potrebuje. Nepotrebuje filozofovať nad zmyslom života ako my dvaja pri káve, ktorú aj tak skoro nikdy nepiješ. Potrebuje nájsť dáta, dostať sa k nim a zašifrovať ich skôr, než si admin všimne, že niečo smrdí.
Kde do toho vstupuje SMB?
SMB protokol (Server Message Block) je v podstate jazyk, ktorým sa Windows zariadenia rozprávajú pri zdieľaní súborov. Keď otvoríš sieťový disk, klikneš na zdieľaný priečinok alebo tlačíš cez sieťovú tlačiareň, často je v pozadí SMB. Moderné verzie SMB, najmä SMBv2 a SMBv3, sú výrazne bezpečnejšie ako staré verzie, ale aj tak platí jednoduché pravidlo: čo nemusí byť dostupné, nemá byť dostupné.
Najväčší historický problém bola zraniteľnosť SMBv1. Starý SMBv1 je ako dvere s nápisom „prosím, nevykrádajte ma“, pričom kľúč visí vedľa na klinci. Zraniteľnosť SMBv1 sa spája s viacerými vážnymi bezpečnostnými incidentmi a ukázala, ako rýchlo sa vie škodlivý kód šíriť v sieti, keď sa spojí starý protokol, chýbajúce aktualizácie a príliš dôverčivé interné prostredie.
Tu je dôležitá vec: port 445 nie je automaticky dôkaz, že máš problém. Problém vzniká vtedy, keď je port 445 otvorený tam, kde nemá byť, alebo keď za ním beží starý, zle nastavený alebo zbytočne široko dostupný SMB. Inými slovami: nie je problém mať doma kuchynský nôž. Problém je nechať ho v rukách opitého orangutana na kolobežke.
Ako ransomware využíva port 445
Ransomware sa už dávno nespolieha iba na to, že niekto klikne na prílohu „faktura_final_naozaj_final.pdf.exe“. Moderné útoky sú často viacstupňové. Útočník sa najprv dostane do jedného zariadenia cez phishing, zraniteľnú službu, slabé heslo alebo vzdialený prístup. Potom začne zisťovať, kam sa vie posunúť ďalej.
Ak už k útoku dôjde, rozhodujú prvé minúty. Preto sa oplatí vedieť aj to, ako reagovať na ransomware, aby človek v panike neurobil ešte väčšiu škodu.
A tu prichádza port 445 ako veľmi lákavá diaľnica. Útočník sa pokúša nájsť zdieľané priečinky, overiť prístupové práva, získať administrátorské účty, skopírovať nástroje na ďalšie počítače alebo spustiť škodlivý kód na viacerých strojoch. Ak má používateľ príliš veľké oprávnenia, ransomware sa nemusí ani veľmi snažiť. Stačí mu zdediť prístup a začne robiť digitálnu kosačku.
Typický problém vo firmách nie je jeden otvorený port. Typický problém je kombinácia drobností: starý server, zabudnuté zdieľanie, lokálny administrátor s rovnakým heslom na viacerých PC, vypnutý firewall, neaktuálny systém, chýbajúce zálohy a veta „to teraz neriešme, veď to funguje“. To je veta, ktorá by mala mať v IT vlastnú sirénu.
Čo má spraviť bežný používateľ?
Bežný používateľ nemusí vedieť analyzovať pakety vo Wiresharku ani recitovať RFC dokumenty pri nedeľnom obede. Stačí, ak pochopí pár vecí.
Nezdieľaj priečinky len preto, že „to je pohodlné“. Ak už niečo zdieľaš, nastav prístup iba konkrétnym používateľom. Nepoužívaj jednoduché heslá. Neignoruj aktualizácie. Neklikaj na podozrivé prílohy. A keď sa v počítači začne diať niečo čudné, napríklad miznú prípony súborov, dokumenty sa hromadne menia alebo sa objaví výkupné, okamžite odpoj zariadenie od siete. Nie vypnúť monitor. Nie zavolať kolegovi, či aj jemu nejde Excel. Odpojiť sieť.
Domáci používatelia by si mali skontrolovať, či ich router nevystavuje port 445 do internetu. V domácej sieti väčšinou nie je dôvod, aby bol SMB dostupný zvonku. Ak potrebuješ pristupovať k súborom mimo domu, použi VPN, cloudové úložisko alebo iné bezpečnejšie riešenie. Otvoriť SMB priamo do internetu je ako nechať dvere do bytu otvorené a ešte dať na Facebook status: „Som na dovolenke, kľúč je pod rohožkou.“
Čo má spraviť admin?
Admin by mal k portu 445 pristupovať ako k služobnému autu s majákom. Je užitočný, ale nemá ho šoférovať hocikto a už vôbec nie bez kontroly.
Prvý krok je inventarizácia. Zisti, kde sa port 445 používa, ktoré servery poskytujú SMB zdieľania a ktoré klienty sa na ne pripájajú. Druhý krok je odstránenie SMBv1. Ak ešte niekde žije SMBv1, treba zistiť prečo. Niekedy je za tým stará tlačiareň, starý účtovný softvér, výrobný stroj alebo server, ktorý „nikto nechytá, lebo sa bojíme, že sa rozpadne“. Lenže bezpečnosť nie je archeologické múzeum.
Zraniteľnosť SMBv1 je dobrý príklad toho, prečo sa staré protokoly nemajú držať pri živote len zo zvyku. Ak niečo potrebuje SMBv1, nemá dostať výnimku na večnosť. Má dostať plán migrácie, izoláciu do samostatnej VLAN, prísne firewall pravidlá a monitoring.
Ďalší krok je segmentácia siete. Používateľské stanice nemajú medzi sebou voľne komunikovať cez SMB, ak to nepotrebujú. Prístup na súborové servery má byť povolený iba tam, kde dáva zmysel. Tlačiarne, výrobné stroje, účtovníctvo, HR a bežné pracovné stanice nemajú žiť v jednom veľkom veselom akváriu, kde každá ryba vidí každú rybu.
Praktický checklist
| Oblasť | Čo skontrolovať | Prečo je to dôležité |
|---|---|---|
| Firewall | Blokovať port 445 z internetu | SMB nemá byť verejne dostupný |
| SMBv1 | Vypnúť alebo odstrániť SMBv1 | Starý protokol zvyšuje riziko útoku |
| Oprávnenia | Povoliť prístup len konkrétnym používateľom | Ransomware šifruje to, kam má používateľ prístup |
| Segmentácia siete | Oddeliť servery, klientov, tlačiarne a výrobu | Útok sa šíri pomalšie alebo vôbec |
| Zálohy | Testovať obnovu, nie iba existenciu záloh | Záloha bez obnovy je len pekná legenda |
| Monitoring | Sledovať hromadné zmeny súborov | Ransomware často mení veľa súborov naraz |
| Heslá | Nepoužívať rovnaké lokálne admin heslá | Útočník sa inak ľahko šíri medzi počítačmi |
| Aktualizácie | Patchovať Windows, servery aj NAS zariadenia | Staré chyby sú stále obľúbené ciele |
| Prístup medzi PC | Zakázať SMB medzi klientmi, ak nie je potrebný | Menej ciest pre laterálny pohyb útočníka |
| Logy | Kontrolovať neúspešné prihlásenia a anomálie | Útok často začína skúšaním prístupov |
Ako by som to nastavil ja
Port 445 by som nikdy nevystavil priamo do internetu. V internej sieti by som ho povolil iba medzi zariadeniami, ktoré ho reálne potrebujú. Súborový server áno. Náhodný notebook z Wi-Fi siete hostí určite nie. Staré zariadenia by som izoloval. SMBv1 by som vypol všade, kde sa dá. Kde sa nedá, tam by som vytvoril výnimku s dátumom expirácie, nie večný pamätník firemnej bolesti.
Na endpointoch by som sledoval správanie: hromadné prepisovanie súborov, rýchle zmeny prípon, podozrivé operácie v dokumentových priečinkoch, prístup k veľkému množstvu sieťových zdieľaní a náhle zmeny v súboroch typu DOCX, XLSX, PDF, JPG alebo ZIP. Toto je presne miesto, kde má zmysel antiransomware štít. Nie sledovať celý vesmír, ale rozumne sledovať kritické priečinky a sieťové zdieľania.
Podobným smerom chcem ísť aj vo vlastnom nástroji SW-NET Forensic. Verziu 2.0.0 plánujem vydať dnes večer na GitHube aj na tomto portáli a od verzie 2.1.0 pripravujem jednoduchý ransomware shield. Nepôjde o náhradu za EDR, zálohy alebo rozumnú segmentáciu siete, ale o doplnkovú vrstvu, ktorá má upozorniť na podozrivé správanie priamo na endpointe.
Pri detekcii podozrivej aktivity by mal SW-NET Forensic používateľa výrazne upozorniť veľkým červeným oknom, automaticky izolovať zariadenie od siete a zmraziť podozrivý proces, aby sa obmedzilo ďalšie šírenie alebo šifrovanie súborov. Systémové procesy by však mali byť chránené pred chybným zásahom pomocou anti-BSOD ochrany, aby nástroj v panike neurobil viac škody než útočník. V praxi to má fungovať ako bezpečnostná brzda: nie všemocná mágia, ale rýchla reakcia v momente, keď sa začne diať niečo naozaj podozrivé.
Mini prax: ako blokovať port 445
Port 445 by nikdy nemal byť otvorený priamo do internetu. Ak SMB potrebuješ v domácej alebo firemnej sieti, povoľ ho iba v lokálnej LAN a blokuj ho smerom von aj dnu cez internet.
Základné pravidlo na routeri alebo firewalle:
- WAN → LAN: blokovať TCP 445
- LAN → WAN: blokovať TCP 445
- LAN → LAN: povoliť TCP 445 iba pre dôveryhodné zariadenia
- Guest Wi-Fi → LAN: blokovať TCP 445
Na Windows môžeš povoliť port 445 iba z lokálnej siete napríklad takto:
|
1 |
New-NetFirewallRule -DisplayName "SMB 445 iba LAN" -Direction Inbound -Action Allow -Protocol TCP -LocalPort 445 -RemoteAddress LocalSubnet |
|
1 |
New-NetFirewallRule -DisplayName "Blok SMB 445 IN" -Direction Inbound -Action Block -Protocol TCP -LocalPort 445 New-NetFirewallRule -DisplayName "Blok SMB 445 OUT" -Direction Outbound -Action Block -Protocol TCP -RemotePort 445 |
Na Linuxe s UFW môžeš pre lokálnu sieť použiť napríklad:
|
1 |
sudo ufw allow proto tcp from 192.168.1.0/24 to any port 445 sudo ufw deny out proto tcp to any port 445 |
Záver
Hackeri milujú port 445 preto, že za ním často nájdu dáta, zdieľania, staré nastavenia a ľudskú pohodlnosť. Ale port 445 nie je nepriateľ. Nepriateľ je chaos, staré protokoly, zlé oprávnenia a presvedčenie, že „nám sa to nestane“.
Ak si bežný používateľ, zapamätaj si jednoduchú vec: zdieľaj len to, čo musíš, aktualizuj a neotváraj SMB do internetu. Ak si admin, ber port 445 ako kritický bod siete. Mapuj ho, obmedzuj ho, loguj ho a nedovoľ mu byť tichou diaľnicou pre ransomware.
Bezpečnosť nie je o tom, že všetko zakážeš a budeš sedieť v rohu ako digitálny mních. Bezpečnosť je o tom, že vieš, čo máš v sieti, prečo to tam je a kto sa k tomu môže dostať. A keď vieš toto, port 445 prestane byť strašiakom a začne byť len ďalšou službou, ktorú máš pod kontrolou.
Zdroje :
