RDP on tutkalla: Lähikuva kehittyvistä etäkäyttöuhkista

Kun COVID-19-pandemia levisi ympäri maailmaa, monet meistä, minä mukaan lukien, siirtyivät työskentelemään kokopäiväisesti kotoa käsin. Monet ESETin työntekijät olivat jo tottuneet työskentelemään etänä osan ajasta, ja kyse oli suurelta osin olemassa olevien resurssien lisäämisestä uusien etätyöntekijöiden tulvan hoitamiseksi, kuten muutaman kannettavan tietokoneen ja VPN-lisenssien ostaminen.

Samaa ei kuitenkaan voitu sanoa monista organisaatioista ympäri maailmaa, joiden oli joko määritettävä etätyövoimansa käyttöoikeudet tyhjästä tai ainakin skaalattava merkittävästi Remote Desktop Protocol (RDP) -palvelimiaan, jotta etäkäyttö olisi monien käytettävissä. samanaikaiset käyttäjät.

Auttaakseni niitä IT-osastoja, erityisesti niitä, joille etätyövoima oli jotain uutta, loin yhdessä sisältöosastomme kanssa paperin, jossa käsiteltiin ESETin näkemiä hyökkäyksiä, jotka kohdistuivat erityisesti RDP:hen ja joitain perustoimenpiteitä niiden estämiseksi. . Se paperi löytyy täällä ESETin yritysblogissa, jos olet utelias.

Suunnilleen samaan aikaan, kun tämä muutos tapahtui, ESET esitteli uudelleen maailmanlaajuisen uhkaraportit, ja yksi havaitsemistamme asioista oli RDP-hyökkäysten kasvu. Meidän mukaan uhkaraportti vuoden 2022 neljältä ensimmäiseltä kuukaudelta, yli 100 miljardi tällaisia ​​hyökkäyksiä yritettiin, joista yli puolet jäljitettiin venäläisiin IP-osoitelohkoihin.

On selvää, että oli tarpeen tarkastella uudelleen RDP:n hyväksikäyttöä, jota kehitettiin parin viime vuoden aikana, jotta voidaan raportoida, mitä ESET näki uhkatiedon ja telemetrian avulla. Olemme siis tehneet juuri sen: uuden version vuoden 2020 paperistamme, nyt nimeltään Remote Desktop Protocol: Etäkäytön määrittäminen suojattua työvoimaa varten, on julkaistu näiden tietojen jakamiseksi.

Mitä RDP:lle on tapahtunut?

Tämän tarkistetun asiakirjan ensimmäisessä osassa tarkastellaan, kuinka hyökkäykset ovat kehittyneet parin viime vuoden aikana. Haluaisin jakaa yhden asian, että kaikki hyökkäykset eivät ole lisääntyneet. Yhden tyyppisen haavoittuvuuden osalta ESET:n hyväksikäyttöyritykset vähenivät huomattavasti:

• BlueKeepin havainnot (CVE-2019-0708) etätyöpöytäpalveluiden madotettavat hyödyt ovat vähentyneet 44 % vuoden 2020 huipusta. Tämä lasku johtuu Windows-versioiden korjauskäytännöistä sekä verkon kehällä olevan suojauksen yhdistelmästä.

Yksi tietokoneturvayrityksiä koskevista usein kuultuista valituksista on se, että ne käyttävät liian paljon aikaa puhuessaan siitä, kuinka turvallisuus aina huononee eikä parane, ja että hyvät uutiset ovat harvinaisia ​​ja ohimeneviä. Osa kritiikistä pitää paikkansa, mutta turvallisuus on aina jatkuva prosessi: uusia uhkia ilmaantuu aina. Tässä tapauksessa haavoittuvuuden, kuten BlueKeepin, hyödyntämisyritysten väheneminen ajan myötä vaikuttaa hyvältä uutiselta. RDP:tä käytetään edelleen laajalti, mikä tarkoittaa, että hyökkääjät jatkavat hyödyntämiensä haavoittuvuuksien tutkimista.

Jotta hyväksikäyttöluokka katoaisi, niiden käyttö on lopetettava. Viimeksi muistan nähneeni näin laajan muutoksen, kun Microsoft julkaisi Windows 7:n vuonna 2009. Windows 7:ssä oli AutoRun-tuki (AUTORUN.INF) pois käytöstä. Microsoft sitten siirsi tämän muutoksen kaikkiin aiempiin Windows-versioihin, vaikkakaan ei täydellisesti ensimmäinen kerta. Ominaisuus siitä lähtien kun Windows 95 julkaistiin vuonna 1995, AutoRunia käytettiin voimakkaasti väärin leviämään matoja, kuten Conficker. Yhdessä vaiheessa AUTORUN.INF-pohjaiset madot aiheuttivat lähes neljänneksen ESETin ohjelmiston kohtaamista uhista. Nykyään niiden osuus on alle a prosentin kymmenesosa havainnoista.

Toisin kuin AutoPlay, RDP on edelleen Windowsin säännöllisesti käytetty ominaisuus, ja se, että yksittäisen hyväksikäytön käyttö on vähentynyt sitä vastaan, ei tarkoita sitä, että hyökkäykset sitä vastaan ​​kokonaisuutena olisivat vähenemässä. Itse asiassa sen haavoittuvuuksia vastaan ​​tehdyt hyökkäykset ovat lisääntyneet valtavasti, mikä tuo esiin toisen mahdollisuuden BlueKeep-havaintomäärien vähenemiseen: Muut RDP-hyökkäykset voivat olla niin paljon tehokkaampia, että hyökkääjät ovat siirtyneet niihin.

Kahden vuoden tietojen tarkastelu vuoden 2020 alusta vuoden 2021 loppuun näyttäisi olevan samaa mieltä tämän arvion kanssa. Tänä aikana ESET-telemetria osoittaa haitallisten RDP-yhteysyritysten valtavan lisääntymisen. Kuinka suuri hyppy oli? Vuoden 2020 ensimmäisellä neljänneksellä näimme 1.97 miljardia yhteysyritystä. Vuoden 2021 viimeiseen neljännekseen mennessä se oli noussut 166.37 miljardiin yhteysyritykseen, mikä on yli 8,400 XNUMX % kasvua!

On selvää, että hyökkääjät löytävät arvoa yhteyden muodostamisesta organisaatioiden tietokoneisiin, olipa kyseessä sitten vakoilu, kiristysohjelmien levittäminen tai jokin muu rikollinen teko. Mutta on myös mahdollista puolustautua näitä hyökkäyksiä vastaan.

Tarkistetun asiakirjan toisessa osassa on päivitettyjä ohjeita maaseudun kehittämisohjelmaan kohdistuvia hyökkäyksiä vastaan ​​puolustautumisesta. Vaikka tämä neuvo on suunnattu enemmän IT-ammattilaisille, jotka eivät ehkä ole tottuneet tiivistämään verkkoaan, se sisältää tietoa, joka voi olla hyödyllistä kokeneemmalle henkilökunnalle.

Uusia tietoja SMB-hyökkäyksistä

RDP-hyökkäyksiä koskevien tietojen joukkoon tuli odottamaton lisäys telemetriaan yrityksistä Server Message Block (SMB) -hyökkäysten yhteydessä. Tämän lisäbonuksen vuoksi en voinut olla katsomatta tietoja ja mielestäni se oli riittävän täydellinen ja mielenkiintoinen, jotta paperiin voitaisiin lisätä uusi osio pk-yritysten hyökkäyksistä ja puolustuksista niitä vastaan.

SMB:tä voidaan pitää RDP:n kumppaniprotokollana, koska se mahdollistaa tiedostojen, tulostimien ja muiden verkkoresurssien etäkäytön RDP-istunnon aikana. 2017 julkaistiin EternalBlue (CVE-2017-0144) madotettava hyväksikäyttö. Hyödynnyksen käyttö jatkoi kasvuaan 2018, 2019, ja sisään 2020, ESETin telemetrian mukaan.

EternalBluen käyttämä haavoittuvuus on olemassa vain SMBv1:ssä, protokollan 1990-luvulta peräisin olevassa versiossa. SMBv1 oli kuitenkin laajalti toteutettu käyttöjärjestelmissä ja verkkolaitteissa vuosikymmeniä, ja vasta 2017 Microsoft alkoi toimittaa Windows-versioita, joissa SMBv1 oli oletusarvoisesti pois käytöstä.

Vuoden 2020 lopussa ja vuoteen 2021 asti ESET:n yritykset hyödyntää EternalBlue-haavoittuvuutta vähenivät huomattavasti. BlueKeepin tapaan ESET selittää tämän havaitsemisen vähenemisen korjauskäytännöillä, parannetuilla suojauksilla verkon kehällä ja SMBv1:n käytön vähenemisenä.

Lopullinen ajatuksia

On tärkeää huomata, että nämä tässä tarkistetussa asiakirjassa esitetyt tiedot on kerätty ESETin telemetriasta. Aina kun työskentelet uhkatelemetriatietojen kanssa, on olemassa tiettyjä ehtoja, joita on sovellettava sen tulkitsemiseen:

1. Uhkatelemetrian jakaminen ESETin kanssa on valinnaista; Jos asiakas ei muodosta yhteyttä ESETin LiveGrid®-järjestelmään tai jaa anonymisoituja tilastotietoja ESETin kanssa, meillä ei ole tietoja siitä, mitä hänen ESETin ohjelmiston asennus kohtasi.
2. Haitallisen RDP- ja SMB-toiminnan havaitseminen tapahtuu useiden ESETin suojakerrosten kautta teknologiatmukaan lukien Botnet-suojaus, Brute Force Attack Protection, Verkkohyökkäyssuojaus, ja niin edelleen. Kaikilla ESETin ohjelmilla ei ole näitä suojaustasoja. Esimerkiksi ESET NOD32 Antivirus tarjoaa perussuojan haittaohjelmia vastaan ​​kotikäyttäjille, eikä siinä ole näitä suojakerroksia. Ne ovat mukana ESET Internet Securityssä ja ESET Smart Security Premiumissa sekä ESETin päätepisteiden suojausohjelmissa yrityskäyttäjille.
3. Vaikka sitä ei käytetty tämän asiakirjan valmistelussa, ESETin uhkaraportit tarjoavat maantieteellisiä tietoja alue- tai maatasolle asti. GeoIP-tunnistus on sekoitus tiedettä ja taidetta, ja sellaiset tekijät kuin VPN-verkkojen käyttö ja IPv4-lohkojen nopeasti muuttuva omistajuus voivat vaikuttaa sijainnin tarkkuuteen.
4. Samoin ESET on yksi monista puolustajista tällä alueella. Telemetria kertoo meille, mitä ESETin ohjelmistojen asennukset estävät, mutta ESETillä ei ole tietoa siitä, mitä muiden tietoturvatuotteiden asiakkaat kohtaavat.

Näiden tekijöiden vuoksi hyökkäysten absoluuttinen määrä on suurempi kuin se, mitä voimme oppia ESETin telemetriasta. Uskomme kuitenkin, että telemetriamme on tarkka esitys kokonaistilanteesta; erilaisten hyökkäysten havaitsemisen yleinen lisääntyminen ja väheneminen prosentteina sekä ESETin havaitsemat hyökkäystrendit ovat todennäköisesti samanlaisia ​​koko tietoturva-alalla.

Erityiset kiitokset kollegoilleni Bruce P. Burrellille, Jakub Filipille, Tomáš Foltýnille, Rene Holtille, Előd Kironskýlle, Ondrej Kubovičille, Gabrielle Ladouceur-Despinsille, Zuzana Pardubskálle, Linda Skrúcanának ja Peter Stančíkille avusta tämän asiakirjan tarkistamisessa.

Aryeh Goretsky, ZCSE, rMVP
Arvostettu tutkija, ESET