ভুল কনফিগার করা রিমোট অ্যাক্সেস পরিষেবাগুলি খারাপ অভিনেতাদের কোম্পানির নেটওয়ার্কগুলিতে একটি সহজ অ্যাক্সেসের পথ প্রদান করে চলেছে - এখানে আপনি কীভাবে রিমোট ডেস্কটপ প্রোটোকলের অপব্যবহার করে আক্রমণে আপনার এক্সপোজার কমিয়ে আনতে পারেন
COVID-19 মহামারী বিশ্বব্যাপী ছড়িয়ে পড়ার সাথে সাথে, আমরা অনেকেই, আমি নিজেও, বাড়ি থেকে পুরো সময় কাজ করার দিকে মনোনিবেশ করেছি। ESET-এর অনেক কর্মচারী ইতিমধ্যেই সময়ের কিছু অংশ দূর থেকে কাজ করতে অভ্যস্ত ছিল, এবং এটি মূলত নতুন দূরবর্তী কর্মীদের আগমন পরিচালনা করার জন্য বিদ্যমান সংস্থানগুলিকে স্কেল করার বিষয় ছিল, যেমন আরও কয়েকটি ল্যাপটপ এবং VPN লাইসেন্স কেনা।
যদিও, বিশ্বজুড়ে অনেক সংস্থার জন্য একই কথা বলা যায় না, যাদের হয় তাদের দূরবর্তী কর্মীদের জন্য স্ক্র্যাচ থেকে অ্যাক্সেস সেট আপ করতে হয়েছিল বা কমপক্ষে উল্লেখযোগ্যভাবে তাদের রিমোট ডেস্কটপ প্রোটোকল (RDP) সার্ভারগুলিকে অনেকের জন্য রিমোট অ্যাক্সেস ব্যবহারযোগ্য করে তুলতে হয়েছিল। সমসাময়িক ব্যবহারকারী।
সেই আইটি বিভাগগুলিকে সাহায্য করার জন্য, বিশেষ করে যাদের জন্য একটি দূরবর্তী কর্মীবাহিনী কিছু নতুন ছিল, আমি আমাদের বিষয়বস্তু বিভাগের সাথে একটি গবেষণাপত্র তৈরি করার জন্য কাজ করেছি যাতে ESET আক্রমণের ধরণ নিয়ে আলোচনা করে যা বিশেষভাবে RDP লক্ষ্য করে, এবং তাদের বিরুদ্ধে সুরক্ষিত করার জন্য কিছু প্রাথমিক পদক্ষেপ। . সেই কাগজ পাওয়া যাবে এখানে ESET এর কর্পোরেট ব্লগে, যদি আপনি কৌতূহলী হন।
প্রায় একই সময়ে এই পরিবর্তন ঘটছিল, ESET আমাদের বিশ্বব্যাপী পুনরায় প্রবর্তন করেছে হুমকি রিপোর্ট, এবং আমরা লক্ষ্য করেছি যেগুলির মধ্যে একটি হল RDP আক্রমণ বাড়তে থাকে। আমাদের মতে 2022 সালের প্রথম চার মাসের জন্য হুমকি রিপোর্ট100 এরও বেশি বিলিয়ন এই ধরনের আক্রমণের চেষ্টা করা হয়েছিল, যার অর্ধেকেরও বেশি রাশিয়ান আইপি অ্যাড্রেস ব্লকে খুঁজে পাওয়া গেছে।
স্পষ্টতই, ESET তার হুমকি বুদ্ধিমত্তা এবং টেলিমেট্রির মাধ্যমে কী দেখছে তা রিপোর্ট করার জন্য বিগত কয়েক বছরে RDP-এর কাজে যেগুলি বিকাশ করা হয়েছিল এবং তারা যে আক্রমণগুলিকে সম্ভব করেছিল সেগুলিকে আরও একবার দেখার প্রয়োজন ছিল। সুতরাং, আমরা ঠিক এটি করেছি: আমাদের 2020 কাগজের একটি নতুন সংস্করণ, এখন শিরোনাম দূরবর্তী ডেস্কটপ প্রোটোকল: একটি নিরাপদ কর্মীর জন্য দূরবর্তী অ্যাক্সেস কনফিগার করা, সেই তথ্য শেয়ার করার জন্য প্রকাশিত হয়েছে।
আরডিপির সাথে কি ঘটছে?
এই সংশোধিত কাগজের প্রথম অংশে, আমরা গত কয়েক বছরে আক্রমণগুলি কীভাবে বিকশিত হয়েছে তা দেখি। আমি একটি জিনিস শেয়ার করতে চাই যে প্রতিটি আক্রমণ বৃদ্ধি পায়নি। এক ধরনের দুর্বলতার জন্য, ESET শোষণের প্রচেষ্টায় একটি উল্লেখযোগ্য হ্রাস দেখেছে:
- ব্লুকিপের সনাক্তকরণ (জন্য CVE-2019-0708) দূরবর্তী ডেস্কটপ পরিষেবাগুলিতে কৃমিযোগ্য শোষণ 44 সালে তাদের সর্বোচ্চ থেকে 2020% কমেছে। আমরা এই হ্রাসের জন্য উইন্ডোজের প্রভাবিত সংস্করণগুলির জন্য প্যাচিং অনুশীলন এবং নেটওয়ার্ক পরিধিতে সুরক্ষা শোষণের জন্য দায়ী করি।
কম্পিউটার সিকিউরিটি কোম্পানি সম্পর্কে প্রায়ই শোনা অভিযোগগুলির মধ্যে একটি হল যে তারা কীভাবে নিরাপত্তা সর্বদা খারাপ হচ্ছে এবং উন্নতি করছে না তা নিয়ে কথা বলতে খুব বেশি সময় ব্যয় করে এবং যে কোনও ভাল খবর বিরল এবং ক্ষণস্থায়ী। সেই সমালোচনার কিছু বৈধ, কিন্তু নিরাপত্তা সর্বদা একটি চলমান প্রক্রিয়া: নতুন হুমকি সর্বদা উদ্ভূত হয়। এই দৃষ্টান্তে, BlueKeep-এর মতো একটি দুর্বলতাকে কাজে লাগানোর প্রচেষ্টা সময়ের সাথে সাথে কমে যাওয়াকে ভালো খবর বলে মনে হয়। RDP ব্যাপকভাবে ব্যবহৃত হয়, এবং এর মানে হল যে আক্রমণকারীরা তাদের কাজে লাগাতে পারে এমন দুর্বলতার বিষয়ে গবেষণা চালিয়ে যাচ্ছে।
শোষণের একটি শ্রেণি বিলুপ্ত হওয়ার জন্য, তাদের জন্য যা কিছু ঝুঁকিপূর্ণ তা ব্যবহার করা বন্ধ করতে হবে। আমার মনে আছে শেষবার যখন মাইক্রোসফট 7 সালে উইন্ডোজ 2009 রিলিজ করে তখন এই ধরনের ব্যাপক পরিবর্তন দেখেছিলাম। উইন্ডোজ 7 অটোরান (AUTORUN.INF) অক্ষম করার জন্য সমর্থন নিয়ে এসেছিল। মাইক্রোসফ্ট তখন এই পরিবর্তনটিকে উইন্ডোজের পূর্ববর্তী সমস্ত সংস্করণে ব্যাকপোর্ট করে, যদিও পুরোপুরি নয় প্রথমবার. 95 সালে উইন্ডোজ 1995 রিলিজ হওয়ার পর থেকে একটি বৈশিষ্ট্য, অটোরানকে কৃমি ছড়িয়ে দেওয়ার জন্য ব্যাপকভাবে অপব্যবহার করা হয়েছিল Conficker. এক পর্যায়ে, AUTORUN.INF-ভিত্তিক কৃমিগুলি ESET-এর সফ্টওয়্যার দ্বারা সম্মুখীন হুমকির প্রায় এক চতুর্থাংশের জন্য দায়ী৷ আজ, তারা একটি অধীনে জন্য অ্যাকাউন্ট শতাংশের দশমাংশ সনাক্তকরণ
অটোপ্লে-এর বিপরীতে, আরডিপি উইন্ডোজের একটি নিয়মিত ব্যবহার করা বৈশিষ্ট্য হিসাবে রয়ে গেছে এবং শুধুমাত্র এটির বিরুদ্ধে একক শোষণের ব্যবহার হ্রাস পাওয়ার অর্থ এই নয় যে এটির বিরুদ্ধে সামগ্রিকভাবে আক্রমণগুলি হ্রাস পাচ্ছে। প্রকৃতপক্ষে, এর দুর্বলতাগুলির বিরুদ্ধে আক্রমণগুলি ব্যাপকভাবে বৃদ্ধি পেয়েছে, যা BlueKeep সনাক্তকরণ হ্রাসের জন্য আরেকটি সম্ভাবনা নিয়ে আসে: অন্যান্য RDP শোষণগুলি এত বেশি কার্যকর হতে পারে যে আক্রমণকারীরা তাদের দিকে চলে গেছে।
2020 এর শুরু থেকে 2021 এর শেষ পর্যন্ত দুই বছরের মূল্যের ডেটার দিকে তাকালে এই মূল্যায়নের সাথে একমত বলে মনে হবে। সেই সময়কালে, ESET টেলিমেট্রি দূষিত RDP সংযোগ প্রচেষ্টার একটি বিশাল বৃদ্ধি দেখায়। শুধু কত বড় লাফ ছিল? 2020 সালের প্রথম ত্রৈমাসিকে, আমরা 1.97 বিলিয়ন সংযোগ প্রচেষ্টা দেখেছি। 2021 সালের চতুর্থ ত্রৈমাসিকের মধ্যে, যা 166.37 বিলিয়ন সংযোগ প্রচেষ্টায় লাফিয়ে উঠেছে, 8,400% এর বেশি!
চিত্র 2. বিশ্বব্যাপী ক্ষতিকারক RDP সংযোগ প্রচেষ্টা সনাক্ত করা হয়েছে (উৎস: ESET টেলিমেট্রি)। পরম সংখ্যা বৃত্তাকার হয়
স্পষ্টতই, আক্রমণকারীরা গুপ্তচরবৃত্তি পরিচালনার জন্য, র্যানসমওয়্যার লাগানো বা অন্য কোনো অপরাধমূলক কাজের জন্য, সংস্থার কম্পিউটারের সাথে সংযোগ করার মূল্য খুঁজে পাচ্ছে। কিন্তু এই আক্রমণ থেকে রক্ষা করাও সম্ভব।
সংশোধিত কাগজের দ্বিতীয় অংশটি RDP-তে আক্রমণের বিরুদ্ধে রক্ষা করার জন্য আপডেট নির্দেশিকা প্রদান করে। যদিও এই পরামর্শটি সেইসব আইটি পেশাদারদের জন্য বেশি প্রযোজ্য যারা তাদের নেটওয়ার্ক শক্ত করতে অভ্যস্ত হতে পারে না, এতে এমন তথ্য রয়েছে যা এমনকি আরও অভিজ্ঞ কর্মীদের জন্য সহায়ক হতে পারে।
SMB আক্রমণের নতুন ডেটা
সার্ভার মেসেজ ব্লক (এসএমবি) আক্রমণের প্রচেষ্টা থেকে আরডিপি আক্রমণের ডেটার সেটের সাথে টেলিমেট্রির একটি অপ্রত্যাশিত সংযোজন এসেছে। এই অতিরিক্ত বোনাস দেওয়া, আমি সাহায্য করতে পারিনি কিন্তু ডেটা দেখে, এবং অনুভব করেছি যে এটি সম্পূর্ণ এবং যথেষ্ট আকর্ষণীয় যে SMB আক্রমণ এবং তাদের বিরুদ্ধে প্রতিরক্ষা সংক্রান্ত একটি নতুন বিভাগ কাগজে যোগ করা যেতে পারে।
এসএমবিকে RDP-এর একটি সহচর প্রোটোকল হিসাবে ভাবা যেতে পারে, এতে এটি ফাইল, প্রিন্টার এবং অন্যান্য নেটওয়ার্ক সংস্থানগুলিকে একটি RDP সেশনের সময় দূর থেকে অ্যাক্সেস করার অনুমতি দেয়। 2017 ইটারনাল ব্লু (জন্য CVE-2017-0144) কৃমি শোষণ। এর মাধ্যমে শোষণের ব্যবহার বাড়তে থাকে 2018, 2019, এবং মধ্যে 2020, ESET টেলিমেট্রি অনুযায়ী।
চিত্র 3. CVE -2017-0144 "EternalBlue" বিশ্বব্যাপী সনাক্তকরণ (সূত্র: ESET টেলিমেট্রি)
EternalBlue দ্বারা শোষিত দুর্বলতা শুধুমাত্র SMBv1-এ উপস্থিত, 1990 এর দশকের প্রোটোকলের একটি সংস্করণ। যাইহোক, SMBv1 বহু দশক ধরে অপারেটিং সিস্টেম এবং নেটওয়ার্ক ডিভাইসগুলিতে ব্যাপকভাবে প্রয়োগ করা হয়েছিল এবং এটি 2017 সাল না হওয়া পর্যন্ত মাইক্রোসফ্ট ডিফল্টরূপে SMBv1 অক্ষম করে উইন্ডোজের সংস্করণ শিপিং শুরু করে।
2020 এর শেষে এবং 2021 এর মধ্যে, ESET EternalBlue দুর্বলতাকে কাজে লাগানোর প্রচেষ্টায় একটি উল্লেখযোগ্য হ্রাস দেখেছে। BlueKeep-এর মতো, ESET সনাক্তকরণের এই হ্রাসকে প্যাচিং অনুশীলন, নেটওয়ার্ক পরিধিতে উন্নত সুরক্ষা এবং SMBv1-এর ব্যবহার হ্রাসের জন্য দায়ী করে।
সর্বশেষ ভাবনা
এটি লক্ষ করা গুরুত্বপূর্ণ যে এই সংশোধিত কাগজে উপস্থাপিত এই তথ্যটি ESET এর টেলিমেট্রি থেকে সংগ্রহ করা হয়েছিল। যে কোনও সময় কেউ হুমকি টেলিমেট্রি ডেটা নিয়ে কাজ করছে, কিছু নির্দিষ্ট শর্ত রয়েছে যা এটি ব্যাখ্যা করার জন্য প্রয়োগ করা আবশ্যক:
- ESET এর সাথে হুমকি টেলিমেট্রি শেয়ার করা ঐচ্ছিক; যদি কোনো গ্রাহক ESET-এর LiveGrid® সিস্টেমের সাথে সংযোগ না করে বা ESET-এর সাথে বেনামে পরিসংখ্যানগত ডেটা ভাগ না করে, তাহলে ESET-এর সফ্টওয়্যারটির ইনস্টলেশনের সম্মুখীন হলে আমাদের কাছে কোনো ডেটা থাকবে না।
- দূষিত RDP এবং SMB কার্যকলাপ সনাক্তকরণ ESET এর সুরক্ষামূলক বিভিন্ন স্তরের মাধ্যমে সম্পন্ন করা হয় প্রযুক্তিসহ বটনেট সুরক্ষা, ব্রুট ফোর্স অ্যাটাক প্রোটেকশন, নেটওয়ার্ক আক্রমণ সুরক্ষা, এবং তাই ঘোষণা. ESET এর সমস্ত প্রোগ্রামে এই স্তরগুলির সুরক্ষা নেই৷ উদাহরণস্বরূপ, ESET NOD32 অ্যান্টিভাইরাস হোম ব্যবহারকারীদের জন্য ম্যালওয়্যারের বিরুদ্ধে একটি প্রাথমিক স্তরের সুরক্ষা প্রদান করে এবং এই সুরক্ষামূলক স্তরগুলি নেই৷ তারা ESET ইন্টারনেট সিকিউরিটি এবং ESET স্মার্ট সিকিউরিটি প্রিমিয়ামের পাশাপাশি ব্যবসায়িক ব্যবহারকারীদের জন্য ESET-এর শেষ পয়েন্ট সুরক্ষা প্রোগ্রামগুলিতে উপস্থিত রয়েছে৷
- যদিও এই কাগজের প্রস্তুতিতে এটি ব্যবহার করা হয়নি, ESET হুমকি প্রতিবেদনগুলি অঞ্চল বা দেশের স্তরে ভৌগলিক ডেটা সরবরাহ করে। জিওআইপি সনাক্তকরণ হল বিজ্ঞান এবং শিল্পের মিশ্রণ, এবং ভিপিএন ব্যবহার এবং আইপিভি 4 ব্লকের দ্রুত পরিবর্তনের মালিকানা অবস্থান নির্ভুলতার উপর প্রভাব ফেলতে পারে।
- একইভাবে, ESET এই স্থানের অনেক ডিফেন্ডারের মধ্যে একটি। টেলিমেট্রি আমাদের বলে যে ESET-এর সফ্টওয়্যারগুলির ইনস্টলেশনগুলি কী প্রতিরোধ করছে, কিন্তু অন্যান্য নিরাপত্তা পণ্যগুলির গ্রাহকরা কী সম্মুখীন হচ্ছে সে সম্পর্কে ESET-এর কোনও অন্তর্দৃষ্টি নেই৷
এই কারণগুলির কারণে, ESET এর টেলিমেট্রি থেকে আমরা যা শিখতে পারি তার থেকে আক্রমণের নিখুঁত সংখ্যা বেশি হতে চলেছে৷ এটি বলেছিল, আমরা বিশ্বাস করি যে আমাদের টেলিমেট্রি সামগ্রিক পরিস্থিতির একটি সঠিক উপস্থাপনা; বিভিন্ন আক্রমণের সনাক্তকরণের সামগ্রিক বৃদ্ধি এবং হ্রাস, শতাংশের ভিত্তিতে, সেইসাথে ESET দ্বারা উল্লিখিত আক্রমণের প্রবণতা, নিরাপত্তা শিল্প জুড়ে একই রকম হতে পারে।
আমার সহকর্মী ব্রুস পি. বুরেল, জ্যাকব ফিলিপ, টমাস ফোল্টিন, রেনে হোল্ট, এলাদ কিরনস্কি, ওন্ড্রেজ কুবোভিচ, গ্যাব্রিয়েল লাডৌসউর-ডেস্পিনস, জুজানা পারডুবস্কা, লিন্ডা স্ক্রুকানা এবং পিটার স্ট্যানসিককে তাদের এই কাগজের পুনর্বিবেচনা করতে সহায়তা করার জন্য বিশেষ ধন্যবাদ৷
আরেহ গোরেটস্কি, জেডসিএসই, আরএমভিপি
বিশিষ্ট গবেষক, ইএসইটি
- blockchain
- coingenius
- cryptocurrency মানিব্যাগ
- ক্রিপ্টোএক্সচেঞ্জ
- সাইবার নিরাপত্তা
- cybercriminals
- সাইবার নিরাপত্তা
- হোমল্যান্ড সিকিউরিটি ডিপার্টমেন্ট
- ডিজিটাল ওয়ালেট
- ESET গবেষণা
- ফায়ারওয়াল
- Kaspersky
- ম্যালওয়্যার
- এমকাফি
- নেক্সব্লক
- Plato
- প্লেটো এআই
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটো গেম
- প্লেটোডাটা
- প্লেটোগেমিং
- ভিপিএন
- আমরা নিরাপত্তা লাইভ
- ওয়েবসাইট নিরাপত্তা
- zephyrnet
