RDP στο ραντάρ: Μια κοντινή προβολή των εξελισσόμενων απειλών απομακρυσμένης πρόσβασης

Καθώς η πανδημία του COVID-19 εξαπλώθηκε σε όλο τον κόσμο, πολλοί από εμάς, συμπεριλαμβανομένου του εαυτού μου, στραφήκαμε στην εργασία πλήρους απασχόλησης από το σπίτι. Πολλοί από τους υπαλλήλους της ESET είχαν ήδη συνηθίσει να εργάζονται εξ αποστάσεως μέρος του χρόνου και ήταν σε μεγάλο βαθμό θέμα κλιμάκωσης των υπαρχόντων πόρων για τη διαχείριση της εισροής νέων απομακρυσμένων εργαζομένων, όπως η αγορά μερικών ακόμη φορητών υπολογιστών και αδειών VPN.

Το ίδιο, ωστόσο, δεν θα μπορούσαμε να πούμε για πολλούς οργανισμούς σε όλο τον κόσμο, οι οποίοι είτε έπρεπε να ρυθμίσουν την πρόσβαση για το απομακρυσμένο εργατικό δυναμικό τους από την αρχή ή τουλάχιστον να αυξήσουν σημαντικά τους διακομιστές Remote Desktop Protocol (RDP) για να κάνουν την απομακρυσμένη πρόσβαση χρησιμοποιήσιμη για πολλούς ταυτόχρονους χρήστες.

Για να βοηθήσω αυτά τα τμήματα πληροφορικής, ιδιαίτερα εκείνα για τα οποία το απομακρυσμένο εργατικό δυναμικό ήταν κάτι καινούργιο, συνεργάστηκα με το τμήμα περιεχομένου μας για να δημιουργήσω ένα έγγραφο που να συζητά τους τύπους επιθέσεων που έβλεπε η ESET που στόχευαν ειδικά το RDP και ορισμένα βασικά βήματα για την ασφάλειά τους εναντίον τους. . Αυτό το χαρτί μπορεί να βρεθεί εδώ στο εταιρικό ιστολόγιο της ESET, σε περίπτωση που είστε περίεργοι.

Σχεδόν την ίδια στιγμή που συνέβαινε αυτή η αλλαγή, η ESET εισήγαγε ξανά το παγκόσμιο μας αναφορές απειλών, και ένα από τα πράγματα που σημειώσαμε ήταν ότι οι επιθέσεις RDP συνέχισαν να αυξάνονται. Σύμφωνα με το δικό μας έκθεση απειλών για τους πρώτους τέσσερις μήνες του 2022, πάνω από 100 δισεκατομμύριο Τέτοιες επιθέσεις επιχειρήθηκαν, περισσότερες από τις μισές από τις οποίες εντοπίστηκαν σε μπλοκ διευθύνσεων IP της Ρωσίας.

Σαφώς, χρειαζόταν να ρίξουμε μια άλλη ματιά στις εκμεταλλεύσεις RDP που αναπτύχθηκαν και στις επιθέσεις που κατέστησαν δυνατές τα τελευταία δύο χρόνια για να αναφέρουμε τι έβλεπε η ESET μέσω της ευφυΐας απειλών και της τηλεμετρίας της. Λοιπόν, κάναμε ακριβώς αυτό: μια νέα έκδοση του εγγράφου μας για το 2020, τώρα με τίτλο Πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας: Διαμόρφωση απομακρυσμένης πρόσβασης για ασφαλές εργατικό δυναμικό, δημοσιεύτηκε για να μοιραστεί αυτές τις πληροφορίες.

Τι συμβαίνει με το RDP;

Στο πρώτο μέρος αυτού του αναθεωρημένου εγγράφου, εξετάζουμε πώς έχουν εξελιχθεί οι επιθέσεις τα τελευταία δύο χρόνια. Ένα πράγμα που θα ήθελα να μοιραστώ είναι ότι δεν αυξάνονται όλες οι επιθέσεις. Για έναν τύπο ευπάθειας, η ESET σημείωσε σημαντική μείωση στις προσπάθειες εκμετάλλευσης:

• Ανιχνεύσεις του BlueKeep (CVE-2019-0708) Η εκμετάλλευση wormable στις Υπηρεσίες απομακρυσμένης επιφάνειας εργασίας μειώθηκε κατά 44% από την κορύφωσή τους το 2020. Αποδίδουμε αυτή τη μείωση σε έναν συνδυασμό πρακτικών ενημέρωσης κώδικα για τις επηρεαζόμενες εκδόσεις των Windows και προστασία εκμετάλλευσης στην περίμετρο του δικτύου.

Ένα από τα συχνά παράπονα για τις εταιρείες ασφάλειας υπολογιστών είναι ότι αφιερώνουν πολύ χρόνο μιλώντας για το πώς η ασφάλεια χειροτερεύει και δεν βελτιώνεται και ότι κάθε καλό νέο είναι σπάνιο και παροδικό. Ορισμένες από αυτές τις επικρίσεις είναι έγκυρες, αλλά η ασφάλεια είναι πάντα μια συνεχής διαδικασία: νέες απειλές πάντα εμφανίζονται. Σε αυτήν την περίπτωση, το να βλέπουμε τις προσπάθειες εκμετάλλευσης μιας ευπάθειας όπως το BlueKeep να μειώνονται με την πάροδο του χρόνου φαίνεται καλό νέο. Το RDP εξακολουθεί να χρησιμοποιείται ευρέως και αυτό σημαίνει ότι οι επιτιθέμενοι θα συνεχίσουν να διεξάγουν έρευνα για τρωτά σημεία που μπορούν να εκμεταλλευτούν.

Για να εξαφανιστεί μια κατηγορία εκμεταλλεύσεων, ό,τι είναι ευάλωτο σε αυτά πρέπει να σταματήσει να χρησιμοποιείται. Η τελευταία φορά που θυμάμαι ότι είδα μια τόσο εκτεταμένη αλλαγή ήταν όταν η Microsoft κυκλοφόρησε τα Windows 7 το 2009. Τα Windows 7 ήρθαν με απενεργοποιημένη την υποστήριξη AutoRun (AUTORUN.INF). Στη συνέχεια, η Microsoft υποστήριξε αυτήν την αλλαγή σε όλες τις προηγούμενες εκδόσεις των Windows, αν και όχι τέλεια η πρώτη φορά. Μια δυνατότητα από τότε που κυκλοφόρησαν τα Windows 95 το 1995, το AutoRun καταχράστηκε σε μεγάλο βαθμό για τη διάδοση σκουληκιών όπως Conficker. Κάποια στιγμή, τα σκουλήκια που βασίζονται στο AUTORUN.INF αντιπροσώπευαν σχεδόν το ένα τέταρτο των απειλών που αντιμετωπίζει το λογισμικό της ESET. Σήμερα, αντιπροσωπεύουν κάτω από α δέκατο του τοις εκατό των ανιχνεύσεων.

Σε αντίθεση με το AutoPlay, το RDP παραμένει ένα χαρακτηριστικό που χρησιμοποιείται τακτικά στα Windows και μόνο και μόνο επειδή υπάρχει μείωση στη χρήση ενός μόνο exploit εναντίον του, αυτό δεν σημαίνει ότι οι επιθέσεις εναντίον του στο σύνολό του μειώνονται. Στην πραγματικότητα, οι επιθέσεις κατά των τρωτών σημείων του έχουν αυξηθεί μαζικά, γεγονός που δημιουργεί μια άλλη πιθανότητα για μείωση των ανιχνεύσεων BlueKeep: Άλλα εκμεταλλεύσεις RDP μπορεί να είναι τόσο πιο αποτελεσματικά που οι εισβολείς έχουν μεταβεί σε αυτά.

Εξετάζοντας τα δεδομένα αξίας δύο ετών από τις αρχές του 2020 έως τα τέλη του 2021 φαίνεται να συμφωνούμε με αυτήν την αξιολόγηση. Κατά τη διάρκεια αυτής της περιόδου, η τηλεμετρία ESET δείχνει μια τεράστια αύξηση στις κακόβουλες προσπάθειες σύνδεσης RDP. Πόσο μεγάλο ήταν το άλμα; Το πρώτο τρίμηνο του 2020, είδαμε 1.97 δισεκατομμύρια προσπάθειες σύνδεσης. Μέχρι το τέταρτο τρίμηνο του 2021, είχε εκτιναχθεί σε 166.37 δισεκατομμύρια προσπάθειες σύνδεσης, μια αύξηση άνω του 8,400%!

Σαφώς, οι επιτιθέμενοι βρίσκουν αξία στη σύνδεση με τους υπολογιστές των οργανισμών, είτε για τη διεξαγωγή κατασκοπείας, την εγκατάσταση ransomware ή κάποια άλλη εγκληματική ενέργεια. Αλλά είναι επίσης δυνατή η άμυνα έναντι αυτών των επιθέσεων.

Το δεύτερο μέρος του αναθεωρημένου εγγράφου παρέχει ενημερωμένη καθοδήγηση για την άμυνα έναντι επιθέσεων στο RDP. Αν και αυτή η συμβουλή απευθύνεται περισσότερο σε εκείνους τους επαγγελματίες πληροφορικής που μπορεί να μην είναι συνηθισμένοι να σκληραίνουν το δίκτυό τους, περιέχει πληροφορίες που μπορεί να είναι χρήσιμες ακόμη και σε πιο έμπειρο προσωπικό.

Νέα δεδομένα για επιθέσεις SMB

Με το σύνολο δεδομένων για επιθέσεις RDP ήρθε μια απροσδόκητη προσθήκη τηλεμετρίας από απόπειρες επιθέσεων μπλοκ μηνυμάτων διακομιστή (SMB). Δεδομένου αυτού του πρόσθετου πλεονεκτήματος, δεν μπορούσα παρά να κοιτάξω τα δεδομένα και ένιωσα ότι ήταν αρκετά ολοκληρωμένο και ενδιαφέρον ώστε μια νέα ενότητα για τις επιθέσεις SMB και τις άμυνες εναντίον τους, θα μπορούσε να προστεθεί στην εφημερίδα.

Το SMB μπορεί να θεωρηθεί ως συνοδευτικό πρωτόκολλο του RDP, καθώς επιτρέπει την απομακρυσμένη πρόσβαση σε αρχεία, εκτυπωτές και άλλους πόρους δικτύου κατά τη διάρκεια μιας περιόδου λειτουργίας RDP. Το 2017 κυκλοφόρησε δημόσια το EternalBlue (CVE-2017-0144) wormable exploit. Η χρήση του exploit συνέχισε να αυξάνεται 2018, 2019, και σε 2020, σύμφωνα με την τηλεμετρία της ESET.

Η ευπάθεια που εκμεταλλεύεται το EternalBlue υπάρχει μόνο στο SMBv1, μια έκδοση του πρωτοκόλλου που χρονολογείται από τη δεκαετία του 1990. Ωστόσο, το SMBv1 εφαρμόστηκε ευρέως σε λειτουργικά συστήματα και δικτυωμένες συσκευές για δεκαετίες και μόλις το 2017 η Microsoft άρχισε να στέλνει εκδόσεις των Windows με το SMBv1 απενεργοποιημένο από προεπιλογή.

Στα τέλη του 2020 και έως το 2021, η ESET σημείωσε σημαντική μείωση στις προσπάθειες εκμετάλλευσης της ευπάθειας του EternalBlue. Όπως και με το BlueKeep, η ESET αποδίδει αυτή τη μείωση των ανιχνεύσεων σε πρακτικές επιδιόρθωσης, βελτιωμένες προστασίες στην περίμετρο του δικτύου και μειωμένη χρήση του SMBv1.

Τελικές σκέψεις

Είναι σημαντικό να σημειωθεί ότι αυτές οι πληροφορίες που παρουσιάζονται σε αυτό το αναθεωρημένο έγγραφο συγκεντρώθηκαν από την τηλεμετρία της ESET. Κάθε φορά που κάποιος εργάζεται με δεδομένα τηλεμετρίας απειλών, υπάρχουν ορισμένες προϋποθέσεις που πρέπει να εφαρμόζονται για την ερμηνεία τους:

1. Η κοινή χρήση τηλεμετρίας απειλών με την ESET είναι προαιρετική. εάν ένας πελάτης δεν συνδεθεί στο σύστημα LiveGrid® της ESET ή δεν μοιράζεται ανώνυμα στατιστικά δεδομένα με την ESET, τότε δεν θα έχουμε δεδομένα σχετικά με το τι αντιμετώπισε η εγκατάσταση του λογισμικού της ESET.
2. Ο εντοπισμός κακόβουλης δραστηριότητας RDP και SMB γίνεται μέσω πολλών επιπέδων προστασίας της ESET τεχνολογίες, Συμπεριλαμβανομένων των Προστασία Botnet, Brute Force Attack Protection, Προστασία από επιθέσεις δικτύου, και ούτω καθεξής. Δεν διαθέτουν όλα τα προγράμματα της ESET αυτά τα επίπεδα προστασίας. Για παράδειγμα, το ESET NOD32 Antivirus παρέχει ένα βασικό επίπεδο προστασίας από κακόβουλο λογισμικό για οικιακούς χρήστες και δεν διαθέτει αυτά τα προστατευτικά επίπεδα. Υπάρχουν στο ESET Internet Security και στο ESET Smart Security Premium, καθώς και στα προγράμματα προστασίας τελικού σημείου της ESET για επαγγελματίες χρήστες.
3. Αν και δεν χρησιμοποιήθηκε στην προετοιμασία αυτού του εγγράφου, οι αναφορές απειλών της ESET παρέχουν γεωγραφικά δεδομένα σε επίπεδο περιοχής ή χώρας. Η ανίχνευση GeoIP είναι μείγμα επιστήμης και τέχνης και παράγοντες όπως η χρήση VPN και η ταχέως μεταβαλλόμενη ιδιοκτησία μπλοκ IPv4 μπορούν να έχουν αντίκτυπο στην ακρίβεια τοποθεσίας.
4. Ομοίως, η ESET είναι ένας από τους πολλούς υπερασπιστές σε αυτόν τον χώρο. Η τηλεμετρία μας λέει ποιες εγκαταστάσεις του λογισμικού της ESET εμποδίζουν, αλλά η ESET δεν έχει καμία εικόνα για το τι αντιμετωπίζουν οι πελάτες άλλων προϊόντων ασφαλείας.

Εξαιτίας αυτών των παραγόντων, ο απόλυτος αριθμός επιθέσεων θα είναι υψηλότερος από αυτό που μπορούμε να μάθουμε από την τηλεμετρία της ESET. Τούτου λεχθέντος, πιστεύουμε ότι η τηλεμετρία μας είναι μια ακριβής αναπαράσταση της συνολικής κατάστασης. Η συνολική αύξηση και μείωση των ανιχνεύσεων διαφόρων επιθέσεων, ποσοστιαία, καθώς και οι τάσεις επιθέσεων που σημειώνονται από την ESET, είναι πιθανό να είναι παρόμοιες σε ολόκληρο τον κλάδο ασφάλειας.

Ιδιαίτερες ευχαριστίες στους συναδέλφους μου Bruce P. Burrell, Jakub Filip, Tomáš Foltýn, Rene Holt, Előd Kironský, Ondrej Kubovič, Gabrielle Ladouceur-Despins, Zuzana Pardubská, Linda Skrúcaná και Peter Stančík για τη βοήθειά τους στην αναθεώρηση αυτής της εργασίας.

Aryeh Goretsky, ZCSE, rMVP
Διακεκριμένη Ερευνήτρια, ESET