تستمر خدمات الوصول عن بعد التي تم تكوينها بشكل خاطئ في منح الجهات السيئة مسار وصول سهل إلى شبكات الشركة - وإليك كيفية تقليل تعرضك للهجمات التي تسيء استخدام بروتوكول سطح المكتب البعيد
مع انتشار جائحة COVID-19 في جميع أنحاء العالم ، تحول الكثير منا ، بمن فيهم أنا ، إلى العمل بدوام كامل من المنزل. لقد اعتاد العديد من موظفي ESET بالفعل على العمل عن بُعد لجزء من الوقت ، وكان الأمر يتعلق إلى حد كبير بزيادة الموارد الحالية للتعامل مع تدفق العمال الجدد عن بُعد ، مثل شراء عدد قليل من أجهزة الكمبيوتر المحمولة وتراخيص VPN.
على الرغم من ذلك ، لا يمكن قول الشيء نفسه بالنسبة للعديد من المؤسسات حول العالم ، الذين اضطروا إما إلى إعداد الوصول للقوى العاملة عن بُعد من نقطة الصفر أو على الأقل توسيع نطاق خوادم بروتوكول سطح المكتب البعيد (RDP) لجعل الوصول عن بُعد قابلاً للاستخدام بالنسبة للكثيرين المستخدمين المتزامنين.
لمساعدة أقسام تكنولوجيا المعلومات هذه ، لا سيما تلك التي كانت القوى العاملة عن بُعد جديدة بالنسبة لها ، عملت مع قسم المحتوى لدينا لإنشاء ورقة تناقش أنواع الهجمات التي كانت ESET ترى أنها تستهدف على وجه التحديد RDP ، وبعض الخطوات الأساسية للتأمين ضدها . يمكن العثور على تلك الورقة هنا على مدونة شركة ESET، في حال كنت فضوليًا.
في نفس الوقت الذي حدث فيه هذا التغيير تقريبًا ، أعادت ESET تقديم عالمنا تقارير التهديد، ومن الأشياء التي لاحظناها أن هجمات RDP استمرت في النمو. وفقًا لموقعنا تقرير تهديد للأشهر الأربعة الأولى من عام 2022، أكثر من 100 مليار تمت محاولة مثل هذه الهجمات ، وتم إرجاع أكثر من نصفها إلى كتل عناوين IP الروسية.
من الواضح أنه كانت هناك حاجة لإلقاء نظرة أخرى على ثغرات RDP التي تم تطويرها ، والهجمات التي جعلوها ممكنة ، على مدار العامين الماضيين للإبلاغ عما كانت ESET تراه من خلال معلومات التهديد والقياس عن بُعد. لذلك ، فعلنا ذلك بالضبط: نسخة جديدة من ورقتنا البحثية لعام 2020 ، بعنوان الآن بروتوكول سطح المكتب البعيد: تكوين الوصول عن بعد لقوة عاملة آمنة، لمشاركة هذه المعلومات.
ما الذي يحدث مع RDP؟
في الجزء الأول من هذه الورقة المنقحة ، ننظر في كيفية تطور الهجمات على مدار العامين الماضيين. الشيء الوحيد الذي أود مشاركته هو أنه لم يكن كل هجوم في ازدياد. بالنسبة لنوع واحد من الثغرات الأمنية ، شهدت ESET انخفاضًا ملحوظًا في محاولات الاستغلال:
- اكتشافات BlueKeep (CVE-2019-0708) الاستغلال القابل للديدان في خدمات سطح المكتب البعيد قد انخفض بنسبة 44٪ عن ذروته في عام 2020. ونعزو هذا الانخفاض إلى مجموعة من ممارسات التصحيح للإصدارات المتأثرة من Windows بالإضافة إلى الحماية من الاستغلال في محيط الشبكة.
تتمثل إحدى الشكاوى التي تُسمع كثيرًا حول شركات أمان الكمبيوتر في أنها تقضي وقتًا طويلاً في الحديث عن كيف أن الأمن دائمًا ما يزداد سوءًا ولا يتحسن ، وأن أي أخبار جيدة تكون غير متكررة وعابرة. بعض هذا النقد صحيح ، لكن الأمن دائمًا عملية مستمرة: تهديدات جديدة تظهر دائمًا. في هذه الحالة ، تبدو رؤية محاولات استغلال ثغرة أمنية مثل BlueKeep تتناقص بمرور الوقت بمثابة أخبار جيدة. لا يزال RDP مستخدمًا على نطاق واسع ، وهذا يعني أن المهاجمين سيواصلون إجراء الأبحاث حول نقاط الضعف التي يمكنهم استغلالها.
لكي تختفي فئة من برمجيات إكسبلويت ، يجب أن يتوقف استخدام كل ما هو عرضة لها. كانت آخر مرة أتذكر فيها رؤية مثل هذا التغيير الواسع عندما أصدرت Microsoft Windows 7 في عام 2009. جاء Windows 7 مع دعم التشغيل التلقائي (AUTORUN.INF) معطل. قامت Microsoft بعد ذلك بنقل هذا التغيير إلى جميع الإصدارات السابقة من Windows ، على الرغم من أنه ليس تمامًا أول مرة. ميزة منذ إصدار Windows 95 في عام 1995 ، تم إساءة استخدام AutoRun بشدة لنشر ديدان مثل كونفيكر. في مرحلة ما ، شكلت الديدان المستندة إلى AUTORUN.INF ما يقرب من ربع التهديدات التي واجهتها برامج ESET. اليوم ، فهم يمثلون أقل من عُشر بالمائة من الاكتشافات.
على عكس التشغيل التلقائي ، يظل RDP ميزة مستخدمة بانتظام في Windows ولأن هناك انخفاض في استخدام ثغرة واحدة ضده ، لا يعني ذلك أن الهجمات ضده ككل في تناقص. في واقع الأمر ، زادت الهجمات ضد نقاط ضعفها بشكل كبير ، مما أدى إلى احتمال آخر لانخفاض اكتشافات BlueKeep: قد تكون ثغرات RDP الأخرى أكثر فاعلية لدرجة أن المهاجمين قد تحولوا إليها.
بالنظر إلى بيانات لمدة عامين من بداية عام 2020 إلى نهاية عام 2021 ، يبدو أن هذا يتفق مع هذا التقييم. خلال تلك الفترة ، يُظهر القياس عن بُعد في ESET زيادة هائلة في محاولات اتصال RDP الخبيثة. فقط ما هو حجم القفزة؟ في الربع الأول من عام 2020 ، شهدنا 1.97 مليار محاولة اتصال. بحلول الربع الرابع من عام 2021 ، قفز ذلك إلى 166.37 مليار محاولة اتصال ، بزيادة تزيد عن 8,400٪!
الشكل 2. تم اكتشاف محاولات اتصال RDP ضارة في جميع أنحاء العالم (المصدر: قياس ESET عن بُعد). يتم تقريب الأرقام المطلقة
من الواضح أن المهاجمين يجدون قيمة في الاتصال بأجهزة كمبيوتر المؤسسات ، سواء لإجراء التجسس أو زرع برامج الفدية أو بعض الأعمال الإجرامية الأخرى. لكن من الممكن أيضًا الدفاع ضد هذه الهجمات.
يقدم الجزء الثاني من الورقة المنقحة إرشادات محدثة حول الدفاع ضد الهجمات على RDP. في حين أن هذه النصيحة موجهة بشكل أكبر إلى محترفي تكنولوجيا المعلومات الذين قد يكونون غير معتادين على تقوية شبكتهم ، إلا أنها تحتوي على معلومات قد تكون مفيدة للموظفين الأكثر خبرة.
بيانات جديدة عن هجمات SMB
مع مجموعة البيانات الخاصة بهجمات RDP ، جاءت إضافة غير متوقعة للقياس عن بُعد من محاولات هجمات Server Message Block (SMB). بالنظر إلى هذه المكافأة الإضافية ، لم يسعني إلا إلقاء نظرة على البيانات ، وشعرت أنها كاملة ومثيرة للاهتمام بما يكفي لإضافة قسم جديد عن هجمات SMB والدفاعات ضدها إلى الورقة.
يمكن اعتبار SMB بمثابة بروتوكول مصاحب لـ RDP ، حيث يسمح بالوصول إلى الملفات والطابعات وموارد الشبكة الأخرى عن بُعد أثناء جلسة RDP. شهد عام 2017 الإصدار العام لـ EternalBlue (CVE-2017-0144) ثغرة قابلة للديدان. استمر استخدام الثغرة في النمو 2018, 2019و إلى 2020وفقًا للقياس عن بُعد لـ ESET.
الشكل 3. عمليات اكتشاف CVE -2017-0144 "EternalBlue" في جميع أنحاء العالم (المصدر: ESET عن بُعد)
الثغرة الأمنية التي استغلها EternalBlue موجودة فقط في SMBv1 ، وهو نسخة من البروتوكول يعود تاريخه إلى التسعينيات. ومع ذلك ، تم تنفيذ SMBv1990 على نطاق واسع في أنظمة التشغيل والأجهزة المتصلة بالشبكة لعقود ولم تبدأ Microsoft في شحن إصدارات Windows مع تعطيل SMBv1 افتراضيًا حتى عام 2017.
في نهاية عام 2020 وحتى عام 2021 ، شهدت ESET انخفاضًا ملحوظًا في محاولات استغلال ثغرة EternalBlue. كما هو الحال مع BlueKeep ، تعزو ESET هذا الانخفاض في الاكتشافات إلى ممارسات التصحيح وتحسين الحماية في محيط الشبكة وتقليل استخدام SMBv1.
الأفكار النهائية
من المهم ملاحظة أن هذه المعلومات المقدمة في هذه الورقة المنقحة تم جمعها من القياس عن بعد لـ ESET. في أي وقت يعمل فيه المرء مع بيانات قياس التهديد عن بُعد ، هناك بعض الشروط التي يجب تطبيقها لتفسيرها:
- تعد مشاركة التتبع عن بُعد للتهديدات مع ESET أمرًا اختياريًا ؛ إذا لم يتصل أحد العملاء بنظام LiveGrid® الخاص بـ ESET أو لم يشارك بيانات إحصائية مجهولة الهوية مع ESET ، فلن يكون لدينا أي بيانات حول ما واجهته عملية تثبيت برنامج ESET.
- يتم الكشف عن نشاط RDP و SMB الضار من خلال عدة طبقات من حماية ESET تكنولوجيات، بما فيها حماية الروبوتات, حماية هجوم القوة الغاشمة, حماية هجوم الشبكة، وهكذا دواليك. لا تحتوي جميع برامج ESET على طبقات الحماية هذه. على سبيل المثال ، يوفر ESET NOD32 Antivirus مستوى أساسيًا من الحماية ضد البرامج الضارة للمستخدمين المنزليين ولا يحتوي على طبقات الحماية هذه. وهي موجودة في ESET Internet Security و ESET Smart Security Premium ، وكذلك في برامج حماية نقطة النهاية من ESET لمستخدمي الأعمال.
- على الرغم من عدم استخدامها في إعداد هذه الورقة ، توفر تقارير التهديد ESET بيانات جغرافية تصل إلى مستوى المنطقة أو الدولة. يعد اكتشاف GeoIP مزيجًا من العلم والفن ، ويمكن أن يكون لعوامل مثل استخدام شبكات VPN والتغير السريع لملكية كتل IPv4 تأثير على دقة الموقع.
- وبالمثل ، فإن ESET هي واحدة من العديد من المدافعين في هذا المجال. يخبرنا القياس عن بُعد بما تمنعه عمليات تثبيت برامج ESET ، لكن ليس لدى ESET نظرة ثاقبة عما يواجهه عملاء منتجات الأمان الأخرى.
بسبب هذه العوامل ، سيكون العدد المطلق للهجمات أعلى مما يمكن أن نتعلمه من القياس عن بعد لـ ESET. ومع ذلك ، نعتقد أن القياس عن بعد لدينا هو تمثيل دقيق للوضع العام ؛ من المحتمل أن تكون الزيادة والنقصان العامان في عمليات اكتشاف الهجمات المختلفة ، من حيث النسبة المئوية ، بالإضافة إلى اتجاهات الهجوم التي لاحظتها ESET ، متشابهة عبر صناعة الأمان.
شكر خاص لزملائي Bruce P. Burrell و Jakub Filip و Tomáš Foltýn و Rene Holt و Előd Kironský و Ondrej Kubovič و Gabrielle Ladouceur-Despins و Zuzana Pardubská و Linda Skrúcaná و Peter Stančík لمساعدتهم في مراجعة هذه الورقة.
أرييه جوريتسكي ، ZCSE ، rMVP
باحث متميز ESET
