RDP radaril: lähivaade arenevatest kaugjuurdepääsuohtudest

Kuna COVID-19 pandeemia levis üle maailma, hakkasid paljud meist, sealhulgas mina, täiskohaga kodus töötama. Paljud ESET-i töötajad olid juba harjunud osa ajast kaugtööga ning suures osas oli tegemist olemasolevate ressursside suurendamisega, et tulla toime uute kaugtöötajate sissevooluga, näiteks ostes veel mõned sülearvutid ja VPN-litsentsid.

Sama ei saa aga öelda paljude organisatsioonide kohta üle maailma, kes pidid kas nullist seadistama juurdepääsu oma kaugtööjõule või vähemalt oluliselt suurendama oma kaugtöölauaprotokolli (RDP) servereid, et muuta kaugjuurdepääs paljudele kasutatavaks. samaaegsed kasutajad.

Et aidata neid IT-osakondi, eriti neid, kelle jaoks kaugtööjõud oli midagi uut, koostasin koos meie sisuosakonnaga paberi, milles käsitleti rünnakute liike, mida ESET nägi ja mis olid suunatud konkreetselt RDP-le, ja mõningaid põhimeetmeid nende vastu kaitsmiseks. . Selle paberi võib leida siin ESET-i ettevõtte ajaveebis, kui olete uudishimulik.

Umbes samal ajal, kui see muutus toimus, tutvustas ESET uuesti meie globaalset ohuteated, ja üks asi, mida märkasime, oli RDP rünnakute kasv. Vastavalt meie ohuaruanne 2022. aasta esimese nelja kuu kohta, üle 100 XNUMX miljard selliseid ründeid üritati, millest üle poole viidi tagasi Venemaa IP-aadressi plokkidesse.

On selge, et viimase paari aasta jooksul välja töötatud RDP ärakasutamisvõimalusi ja rünnakuid, mida need võimaldasid, tuli uuesti vaadata, et anda teada, mida ESET nägi oma ohuluure ja telemeetria kaudu. Niisiis, oleme just seda teinud: meie 2020. aasta paberi uus versioon, nüüd pealkirjaga Remote Desktop Protocol: kaugjuurdepääsu konfigureerimine turvalise tööjõu jaoks, avaldati selle teabe jagamiseks.

Mis on RDP-ga juhtunud?

Selle muudetud dokumendi esimeses osas vaatleme, kuidas rünnakud on viimase paari aasta jooksul arenenud. Üks asi, mida tahaksin jagada, on see, et mitte iga rünnak ei ole kasvanud. Ühte tüüpi haavatavuse korral on ESET märgatavalt vähenenud ärakasutamiskatsed.

• BlueKeepi (CVE-2019-0708) kaugtöölauateenuste ussirohke ärakasutamine on 44. aasta tipptasemega võrreldes vähenenud 2020%. Selle vähenemise põhjuseks on Windowsi mõjutatud versioonide paikamine ja võrgu perimeetri kaitse.

Üks sageli kuuldud kaebusi arvutiturbefirmade kohta on see, et nad kulutavad liiga palju aega, rääkides sellest, kuidas turvalisus aina halveneb ega parane, ning et kõik head uudised on harvad ja mööduvad. Osa sellest kriitikast on kehtiv, kuid turvalisus on alati pidev protsess: alati kerkivad esile uued ohud. Sel juhul tundub hea uudisena näha katseid kasutada turvaauku, nagu BlueKeep, aja jooksul vähenemas. RDP-d kasutatakse jätkuvalt laialdaselt ja see tähendab, et ründajad jätkavad haavatavuste uurimist, mida nad saavad ära kasutada.

Selleks, et vägitegude klass kaoks, tuleb selle kasutamine lõpetada, mis on neile haavatav. Viimati mäletan, et nägin sellist laiaulatuslikku muutust siis, kui Microsoft avaldas 7. aastal Windows 2009. Windows 7-s oli automaatkäivituse (AUTORUN.INF) tugi. Seejärel kandis Microsoft selle muudatuse tagasi kõikidele varasematele Windowsi versioonidele, kuigi mitte täiuslikult esimene kord. Alates Windows 95 väljalaskmisest 1995. aastal on AutoRuni funktsioon olnud tugevalt kuritarvitatud, et levitada selliseid usse nagu Conficker. Ühel hetkel moodustasid AUTORUN.INF-põhised ussid peaaegu veerandi ESET-i tarkvaraga kokku puutunud ohtudest. Tänapäeval moodustavad need alla a kümnendik protsenti avastamistest.

Erinevalt automaatsest taasesitusest jääb RDP Windowsi regulaarselt kasutatavaks funktsiooniks ja see, et selle vastu on vähenenud ühe ärakasutamise funktsioon, ei tähenda see, et selle vastu suunatud rünnakud tervikuna väheneksid. Tegelikult on selle haavatavuste vastu suunatud rünnakud tohutult suurenenud, mis toob esile veel ühe võimaluse BlueKeepi tuvastamise vähendamiseks: muud RDP ärakasutamised võivad olla nii palju tõhusamad, et ründajad on neile üle läinud.

Kui vaadata kahe aasta andmeid 2020. aasta algusest kuni 2021. aasta lõpuni, näib see selle hinnanguga nõustuvat. Sel perioodil näitab ESET-i telemeetria pahatahtlike RDP-ühenduse katsete massilist kasvu. Kui suur oli hüpe? 2020. aasta esimeses kvartalis nägime 1.97 miljardit ühenduskatset. 2021. aasta neljandaks kvartaliks oli see hüppeliselt 166.37 miljardit ühenduskatset, mis on üle 8,400% rohkem!

On selge, et ründajad leiavad väärtust organisatsioonide arvutitega ühenduse loomisel, olgu selleks siis spionaaži, lunavara külvamise või mõne muu kuriteo. Kuid nende rünnakute eest on võimalik ka kaitsta.

Läbivaadatud dokumendi teises osas antakse ajakohastatud juhised maaelu arengukava vastu suunatud rünnakute eest kaitsmiseks. Kuigi see nõuanne on rohkem suunatud neile IT-spetsialistidele, kes ei pruugi olla harjunud oma võrku karastama, sisaldab see teavet, mis võib olla kasulik isegi kogenumatele töötajatele.

Uued andmed SMB rünnakute kohta

RDP rünnakute andmete kogumiga lisandus ootamatult telemeetria, mis pärines serveri sõnumiploki (SMB) rünnete katsetest. Arvestades seda lisaboonust, ei saanud ma jätta andmeid vaatamata ning tundsin, et need on piisavalt täielikud ja huvitavad, et paberile võiks lisada uue jaotise VKEde rünnakute ja nende vastu võitlemise kohta.

SMB-d võib pidada RDP kaasprotokolliks, kuna see võimaldab failidele, printeritele ja muudele võrguressurssidele RDP seansi ajal kaugjuurdepääsu. 2017. aastal anti avalikult välja EternalBlue (CVE-2017-0144) ussitavad ärakasutamine. Ärakasutamise kasutamine jätkus 2018, 2019, ja sisse 2020, vastavalt ESET-i telemeetriale.

EternalBlue'i poolt ärakasutatud haavatavus on olemas ainult SMBv1-s, 1990. aastatest pärit protokolli versioonis. Kuid SMBv1 rakendati opsüsteemides ja võrguseadmetes laialdaselt aastakümneid ning alles 2017. aastal hakkas Microsoft tarnima Windowsi versioone, mille SMBv1 oli vaikimisi keelatud.

2020. aasta lõpus ja kuni 2021. aastani oli ESET-is märgatavalt vähenenud katsed kasutada ära EternalBlue'i haavatavust. Nagu BlueKeepi puhul, omistab ESET selle tuvastamise vähenemise paikamise praktikale, võrgu perimeetri täiustatud kaitsele ja SMBv1 vähenenud kasutamisele.

Lõplik mõtted

Oluline on märkida, et selles muudetud dokumendis esitatud teave koguti ESET-i telemeetria abil. Iga kord, kui töötate ohu telemeetria andmetega, tuleb nende tõlgendamisel järgida teatud tingimusi.

1. Ohu telemeetria jagamine ESET-iga on valikuline; kui klient ei loo ühendust ESET-i LiveGrid®-süsteemiga ega jaga ESET-iga anonüümseid statistilisi andmeid, ei ole meil andmeid selle kohta, millega ESET-i tarkvara installimine kokku puutus.
2. Pahatahtliku RDP ja SMB tegevuse tuvastamine toimub mitme ESET-i kaitsekihi kaudu tehnoloogiate, Sealhulgas Botivõrgu kaitse, Julma jõu rünnakute kaitse, Võrgurünnakute kaitse, ja nii edasi. Kõigil ESET-i programmidel pole neid kaitsekihte. Näiteks ESET NOD32 Antivirus pakub kodukasutajatele algtaseme kaitset pahavara vastu ja sellel pole neid kaitsekihte. Need on olemas nii programmides ESET Internet Security ja ESET Smart Security Premium kui ka ESET-i ärikasutajatele mõeldud lõpp-punkti kaitseprogrammides.
3. Kuigi ESET-i ohuaruanded seda selle artikli koostamisel ei kasutatud, pakuvad geograafilised andmed piirkonna või riigi tasemele. GeoIP tuvastamine on segu teadusest ja kunstist ning sellised tegurid nagu VPN-ide kasutamine ja IPv4-plokkide kiiresti muutuv omandiõigus võivad asukoha täpsust mõjutada.
4. Samuti on ESET selles ruumis üks paljudest kaitsjatest. Telemeetria annab meile teada, mida ESET-i tarkvara installid takistavad, kuid ESET-il puudub ülevaade sellest, millega teiste turbetoodete kliendid kokku puutuvad.

Nende tegurite tõttu on rünnakute absoluutarv suurem kui ESET-i telemeetria põhjal õppida. Sellegipoolest usume, et meie telemeetria kujutab täpselt üldist olukorda; erinevate rünnete tuvastamise üldine kasv ja vähenemine protsentides, samuti ESET-i täheldatud rünnete trendid on tõenäoliselt sarnased kogu turbetööstuses.

Eriline tänu oma kolleegidele Bruce P. Burrellile, Jakub Filipile, Tomáš Foltýnile, Rene Holtile, Előd Kironskýle, Ondrej Kubovitšile, Gabrielle Ladouceur-Despinsile, Zuzana Pardubskále, Linda Skrúcanának ja Peter Stančíkile abi eest selle artikli läbivaatamisel.

Aryeh Goretsky, ZCSE, rMVP
Austatud teadlane, ESET