Сигурност

Киберпрестъпниците все повече експлоатират RDP, предупреждава ФБР

Владимир Владков

Употребата на протокола RDP (протокол за отдалечен достъп до десктоп) създава риск, тъй като има способност да управлява отдалечено компютъра и използването му трябва да бъде строго регулирано, наблюдавано и контролирано, заявиха от ФБР и Министерството на вътрешната сигурност на САЩ (DHS).

Злоумишлените участници в киберпространството са разработили методи за идентифициране и използване на уязвими RDP сесии през интернет, чрез които да компрометират самоличности, да откраднат идентификационни данни и информация, с която да искат откуп, съобщиха в съвместно изявление двете щатски организации.

Използването на инструменти за отдалечено администриране като RDP като вектор за атака е започнало да се увеличава в края на 2016 г. след нарастването на нелегалните пазари, продаващи инструменти за RDP достъп. RDP е все по-популярен инструмент сред кибер нападателите, защото позволява на дадено лице да контролира ресурсите и данните на компютъра през интернет.

Кибер престъпниците могат да проникнат във връзката между машините и да внедрят злонамерен софтуер или криптовируси (ransomware) в отдалечената система и тъй като атаките, използващи RDP, не изискват намеса от страна на потребителя, тази зловредна намесата е трудно откриваема.

 

Кибер нападателите

Уязвимостите включват слаби пароли, които позволяват на нападателите да инициират RDP свързаност, остарели версии на RDP със слаби механизми на криптиране, които позволяват нападение тип „човек по средата“, което позволява неограничен достъп до RDP порта по подразбиране (а именно 3389) и по този начин получава неограничен брой опити за влизане в потребителския акаунт.

Заплахите включват криптовируси като CrySiS, който атакува фирмите през отворени RDP портове; CryptON, който използва атаки тип „брутална сила“, за да получи достъп до RDP сесии; и Samsam, който използва широк спектър от експлойти, включително такива, които атакуват машини, работещи с RDP, за извършване на атаки тип „груба сила“.

През юли 2018 г. чрез Samsam са атакувани идентификационните данни за RDP, като целта е било проникване в компания от здравния сектор и криптиране на хиляди машини преди откриване на атаката, пише в предупреждението на ФБР / DHS.

Освен това агентите са открили, че нападателите са купували и продавали откраднати идентификационни данни за RDP в “тъмната мрежа“, като стойността на идентификационните данни се определя от местоположението на компрометираната машина, софтуера, използван в сесията, и всички допълнителни атрибути, които увеличават използваемостта на откраднатите ресурси.

През август 2018 г. изследователите от компанията за сигурност Cybereason съобщиха, че в рамките на два дни е открита кутия, проектирана да прилича на подстанция за пренос на електроенергия на доставчик на електроенергия, която е била подготвена за продажба като актив в „тъмната мрежа“ на друга престъпна организация, използваща инструмента xDedic RDP Patch.

Инструментът позволява на жертвата и нападателя да използват едни и същи идентификационни данни, за да влязат в машина едновременно с помощта на RDP, което иначе би било невъзможно заради вградените ограничения за сигурност в най-новите версии на протокола.

Броят на всекидневните инциденти с RDP е скочил през май, като в повечето случаи нападателите са търсели архивни копия, според доклада за второто тримесечие на 2018 г. на фирмата за сигурност Rapid 7. В доклада се посочва още, че през второто тримесечие на годината е налице постоянно ниво на активност с RDP, като върховите стойности на незаконна активност през май са достигнали до над 1 милион опита.

„Мониторингът на „грубата сила“, на подозрителната автентификация от множество държави и на удостоверяването от няколко организации помагат да се идентифицира този тип дейност, а прилагането на многофакторна автентификация и мониторинг на изтеклите идентификационни данни може да помогне на организациите активно да се предпазят от тези заплахи“, пише още в доклада.

Разбирането за големината на изложените на риск данни е друг критичен аспект от борбата със заплахите, пише в доклада на Rapid 7, като се отбелязва, че разкриване на RDP на външни за организацията лица, дори за кратък период от време, може да има опустошително въздействие върху дадената организация.

За да се предпазят от атаки, базирани на RDP, ФБР препоръчват на фирмите:

  • Одит на мрежите за системи, използващи RDP за отдалечена комуникация, и деактивиране на услугата, ако не е необходима, или инсталиране на наличните кръпки.
  • Уверете се, че всички облачно базирани инсталации на виртуални машини с публичен IP адрес нямат отворени RDP портове, по-специално порт 3389, освен ако няма разумни бизнес причини за точно това.
  • Поставете всяка система с отворен RDP порт зад защитната стена и изисквайте от потребителите да използват виртуална частна мрежа (VPN), за да осъществят достъп до нея през защитната стена.
  • Активирайте силни пароли и правила за заключване на профили, за да се защитите срещу атаки тип „груба сила“.
  • Прилагайте двуфакторно удостоверяване, когато това е възможно.
  • Правете редовно системните и софтуерни актуализации.
  • Поддържайте добра стратегия за резервни копия.
  • Активирайте механизми за регистриране, които да гарантират, че „улавят“ влизанията през RDP. Поддържайте дневници за минимум 90 дни и ги преглеждайте редовно, за да откриете опити за проникване.
  • Когато създавате облачни виртуални машини, се придържайте към разработените от облачния доставчик добри практики за отдалечен достъп.
  • Уверете се, че трети страни, които поискат RDP достъп, ще следват вътрешните политики за отдалечен достъп.
  • Минимизирайте мрежовата „експозиция“ на всички устройства от системата за управление и, където е възможно, деактивирайте RDP в критичните устройства.
  • Регулирайте и ограничавайте RDP връзките отвън-навътре. Когато се изисква външен достъп до вътрешни ресурси, използвайте сигурни методи като VPN тунели.

 





© Ай Си Ти Медиа ЕООД 1997-2019 съгласно Общи условия за ползване

X