रडार पर आरडीपी: रिमोट एक्सेस खतरों को विकसित करने का एक नज़दीकी दृश्य

जैसे ही COVID-19 महामारी दुनिया भर में फैली, हम में से कई, जिनमें मैं भी शामिल था, ने घर से पूर्णकालिक काम करना शुरू कर दिया। ईएसईटी के कई कर्मचारी पहले से ही समय के दूर से काम करने के आदी थे, और यह काफी हद तक नए दूरस्थ श्रमिकों की आमद को संभालने के लिए मौजूदा संसाधनों को बढ़ाने का मामला था, जैसे कि कुछ और लैपटॉप और वीपीएन लाइसेंस खरीदना।

हालाँकि, दुनिया भर के कई संगठनों के लिए ऐसा नहीं कहा जा सकता है, जिन्हें या तो अपने दूरस्थ कार्यबल के लिए खरोंच से पहुँच स्थापित करनी थी या कम से कम अपने दूरस्थ डेस्कटॉप प्रोटोकॉल (RDP) सर्वरों को बहुत से लोगों के लिए दूरस्थ पहुँच को उपयोग करने योग्य बनाना था। संयुक्त उपयोगकर्ता।

उन आईटी विभागों की मदद करने के लिए, विशेष रूप से जिनके लिए एक दूरस्थ कार्यबल कुछ नया था, मैंने अपने सामग्री विभाग के साथ एक पेपर बनाने के लिए काम किया, जिसमें ईएसईटी द्वारा देखे जा रहे हमलों के प्रकारों पर चर्चा की गई थी, जो विशेष रूप से आरडीपी को लक्षित कर रहे थे, और उनके खिलाफ सुरक्षित करने के लिए कुछ बुनियादी कदम थे। . वह कागज मिल सकता है यहाँ ESET के कॉर्पोरेट ब्लॉग पर, यदि आप उत्सुक हैं।

लगभग उसी समय यह परिवर्तन हो रहा था, ईएसईटी ने हमारे वैश्विक को फिर से पेश किया खतरे की रिपोर्ट, और जिन चीजों पर हमने गौर किया उनमें से एक यह थी कि आरडीपी के हमले लगातार बढ़ रहे थे। हमारे अनुसार 2022 के पहले चार महीनों के लिए खतरे की रिपोर्ट100 से अधिक एक अरब इस तरह के हमलों का प्रयास किया गया था, जिनमें से आधे से अधिक रूसी आईपी एड्रेस ब्लॉक में वापस खोजे गए थे।

स्पष्ट रूप से, विकसित किए गए आरडीपी कारनामों पर एक और नज़र डालने की आवश्यकता थी, और पिछले कुछ वर्षों में उनके द्वारा किए गए हमलों को रिपोर्ट करने के लिए ईएसईटी अपने खतरे की खुफिया और टेलीमेट्री के माध्यम से क्या देख रहा था। इसलिए, हमने बस यही किया है: हमारे 2020 के पेपर का एक नया संस्करण, जिसे अब शीर्षक दिया गया है रिमोट डेस्कटॉप प्रोटोकॉल: सुरक्षित कार्यबल के लिए रिमोट एक्सेस को कॉन्फ़िगर करना, उस जानकारी को साझा करने के लिए प्रकाशित किया गया है।

आरडीपी के साथ क्या हो रहा है?

इस संशोधित पेपर के पहले भाग में, हम देखते हैं कि पिछले कुछ वर्षों में हमले कैसे विकसित हुए हैं। एक बात जो मैं साझा करना चाहूंगा वह यह है कि हर हमले में वृद्धि नहीं हुई है। एक प्रकार की भेद्यता के लिए, ईएसईटी ने शोषण के प्रयासों में उल्लेखनीय कमी देखी:

• ब्लूकीप का पता लगाना (CVE-2019-0708) दूरस्थ डेस्कटॉप सेवाओं में खराब होने वाले शोषण में 44 में अपने चरम से 2020% की कमी आई है। हम इस कमी का श्रेय विंडोज के प्रभावित संस्करणों के लिए पैचिंग प्रथाओं के संयोजन के साथ-साथ नेटवर्क परिधि पर सुरक्षा का शोषण करते हैं।

कंप्यूटर सुरक्षा कंपनियों के बारे में अक्सर सुनी जाने वाली शिकायतों में से एक यह है कि वे इस बारे में बात करने में बहुत अधिक समय व्यतीत करते हैं कि सुरक्षा हमेशा खराब हो रही है और सुधार नहीं हो रहा है, और यह कि कोई भी अच्छी खबर दुर्लभ और क्षणिक है। उस आलोचना में से कुछ मान्य है, लेकिन सुरक्षा हमेशा एक सतत प्रक्रिया है: नए खतरे हमेशा उभर रहे हैं। इस उदाहरण में, समय के साथ ब्लूकीप में कमी जैसी भेद्यता का फायदा उठाने के प्रयासों को देखना अच्छी खबर की तरह लगता है। आरडीपी का व्यापक रूप से उपयोग किया जाता है, और इसका मतलब है कि हमलावर उन कमजोरियों पर शोध करना जारी रखेंगे जिनका वे फायदा उठा सकते हैं।

शोषण के एक वर्ग के गायब होने के लिए, जो कुछ भी उनके लिए असुरक्षित है, उसे इस्तेमाल करना बंद करना होगा। आखिरी बार मुझे याद है कि इतना व्यापक परिवर्तन तब हुआ था जब माइक्रोसॉफ्ट ने 7 में विंडोज 2009 जारी किया था। विंडोज 7 ऑटोरन (AUTORUN.INF) अक्षम के लिए समर्थन के साथ आया था। माइक्रोसॉफ्ट ने तब इस बदलाव को विंडोज के सभी पिछले संस्करणों में बैकपोर्ट किया, हालांकि पूरी तरह से नहीं पहली बार. 95 में Windows 1995 के रिलीज़ होने के बाद से एक विशेषता, AutoRun का अत्यधिक दुरुपयोग जैसे कृमियों को फैलाने के लिए किया गया था Conficker. एक समय पर, AUTORUN.INF- आधारित वर्म्स ESET के सॉफ़्टवेयर द्वारा सामना किए गए लगभग एक चौथाई खतरों के लिए जिम्मेदार थे। आज, वे एक . के तहत खाते हैं एक प्रतिशत का दसवां पता लगाने की।

ऑटोप्ले के विपरीत, आरडीपी विंडोज की एक नियमित रूप से उपयोग की जाने वाली विशेषता बनी हुई है और सिर्फ इसलिए कि इसके खिलाफ एकल शोषण के उपयोग में कमी आई है, इसका मतलब यह नहीं है कि इसके खिलाफ पूरे हमले कम हो रहे हैं। तथ्य की बात के रूप में, इसकी कमजोरियों के खिलाफ हमले बड़े पैमाने पर बढ़ गए हैं, जो ब्लूकीप डिटेक्शन में कमी के लिए एक और संभावना लाता है: अन्य आरडीपी कारनामे इतने अधिक प्रभावी हो सकते हैं कि हमलावरों ने उन पर स्विच किया है।

2020 की शुरुआत से लेकर 2021 के अंत तक के दो साल के आंकड़ों को देखें तो यह इस आकलन से सहमत लगता है। उस अवधि के दौरान, ईएसईटी टेलीमेट्री दुर्भावनापूर्ण आरडीपी कनेक्शन प्रयासों में भारी वृद्धि दर्शाती है। छलांग कितनी बड़ी थी? 2020 की पहली तिमाही में, हमने 1.97 बिलियन कनेक्शन प्रयास देखे। 2021 की चौथी तिमाही तक, जो 166.37 बिलियन कनेक्शन प्रयासों तक पहुंच गया था, 8,400% से अधिक की वृद्धि!

स्पष्ट रूप से, हमलावर संगठनों के कंप्यूटरों से जुड़ने में महत्व पा रहे हैं, चाहे जासूसी करने के लिए, रैंसमवेयर लगाने के लिए, या किसी अन्य आपराधिक कृत्य के लिए। लेकिन इन हमलों से बचाव करना भी संभव है।

संशोधित पेपर का दूसरा भाग आरडीपी पर हमलों के खिलाफ बचाव पर अद्यतन मार्गदर्शन प्रदान करता है। हालांकि यह सलाह उन आईटी पेशेवरों के लिए अधिक सक्षम है जो अपने नेटवर्क को सख्त करने के आदी नहीं हो सकते हैं, इसमें ऐसी जानकारी है जो अधिक अनुभवी कर्मचारियों के लिए भी सहायक हो सकती है।

SMB हमलों पर नया डेटा

आरडीपी हमलों पर डेटा के सेट के साथ प्रयास किए गए सर्वर संदेश ब्लॉक (एसएमबी) हमलों से टेलीमेट्री का एक अप्रत्याशित जोड़ आया। इस अतिरिक्त बोनस को देखते हुए, मैं डेटा को देखने में मदद नहीं कर सका, और मुझे लगा कि यह पूर्ण और दिलचस्प है कि एसएमबी हमलों पर एक नया खंड, और उनके खिलाफ बचाव, पेपर में जोड़ा जा सकता है।

SMB को RDP के लिए एक साथी प्रोटोकॉल के रूप में माना जा सकता है, जिसमें यह RDP सत्र के दौरान फ़ाइलों, प्रिंटरों और अन्य नेटवर्क संसाधनों को दूरस्थ रूप से एक्सेस करने की अनुमति देता है। 2017 में इटरनलब्लू की सार्वजनिक रिलीज़ देखी गई (CVE-2017-0144) खराब करने योग्य शोषण। के माध्यम से शोषण का उपयोग बढ़ता रहा 2018, 2019, और में 2020ईएसईटी टेलीमेट्री के अनुसार।

EternalBlue द्वारा शोषण की गई भेद्यता केवल SMBv1 में मौजूद है, जो 1990 के दशक के प्रोटोकॉल का एक संस्करण है। हालाँकि, SMBv1 दशकों से ऑपरेटिंग सिस्टम और नेटवर्क उपकरणों में व्यापक रूप से लागू किया गया था और यह 2017 तक नहीं था कि Microsoft ने डिफ़ॉल्ट रूप से अक्षम SMBv1 के साथ विंडोज के शिपिंग संस्करण शुरू किए।

2020 के अंत में और 2021 तक, ESET ने EternalBlue भेद्यता का फायदा उठाने के प्रयासों में उल्लेखनीय कमी देखी। ब्लूकीप की तरह, ईएसईटी ने इस कमी का श्रेय पैचिंग प्रथाओं, नेटवर्क परिधि पर बेहतर सुरक्षा और एसएमबीवी1 के कम उपयोग को दिया है।

अंतिम विचार

यह ध्यान रखना महत्वपूर्ण है कि इस संशोधित पेपर में प्रस्तुत यह जानकारी ईएसईटी के टेलीमेट्री से एकत्र की गई थी। जब भी कोई खतरे वाले टेलीमेट्री डेटा के साथ काम कर रहा होता है, तो कुछ निश्चित प्रावधान होते हैं जिन्हें इसकी व्याख्या करने के लिए लागू किया जाना चाहिए:

1. ईएसईटी के साथ खतरा टेलीमेट्री साझा करना वैकल्पिक है; यदि कोई ग्राहक ईएसईटी के लाइवग्रिड® सिस्टम से कनेक्ट नहीं होता है या ईएसईटी के साथ अज्ञात सांख्यिकीय डेटा साझा नहीं करता है, तो हमारे पास ईएसईटी के सॉफ़्टवेयर की स्थापना का कोई डेटा नहीं होगा।
2. दुर्भावनापूर्ण आरडीपी और एसएमबी गतिविधि का पता लगाने के लिए ईएसईटी की सुरक्षा की कई परतों के माध्यम से किया जाता है प्रौद्योगिकियोंसहित, बोटनेट सुरक्षा, ब्रूट फोर्स अटैक प्रोटेक्शन, नेटवर्क अटैक प्रोटेक्शन, इत्यादि। ईएसईटी के सभी कार्यक्रमों में सुरक्षा की ये परतें नहीं होती हैं। उदाहरण के लिए, ESET NOD32 एंटीवायरस घरेलू उपयोगकर्ताओं के लिए मैलवेयर के खिलाफ बुनियादी स्तर की सुरक्षा प्रदान करता है और इसमें ये सुरक्षात्मक परतें नहीं होती हैं। वे ईएसईटी इंटरनेट सुरक्षा और ईएसईटी स्मार्ट सुरक्षा प्रीमियम के साथ-साथ व्यावसायिक उपयोगकर्ताओं के लिए ईएसईटी के समापन बिंदु सुरक्षा कार्यक्रमों में मौजूद हैं।
3. हालांकि इस पेपर की तैयारी में इसका उपयोग नहीं किया गया था, लेकिन ईएसईटी खतरे की रिपोर्ट भौगोलिक डेटा को क्षेत्र या देश के स्तर तक प्रदान करती है। जियोआईपी डिटेक्शन विज्ञान और कला का मिश्रण है, और वीपीएन के उपयोग और आईपीवी4 ब्लॉक के तेजी से बदलते स्वामित्व जैसे कारक स्थान सटीकता पर प्रभाव डाल सकते हैं।
4. इसी तरह, ईएसईटी इस क्षेत्र में कई रक्षकों में से एक है। टेलीमेट्री हमें बताती है कि ईएसईटी के सॉफ़्टवेयर के कौन से इंस्टॉलेशन रोक रहे हैं, लेकिन ईएसईटी को इस बात की कोई जानकारी नहीं है कि अन्य सुरक्षा उत्पादों के ग्राहक क्या सामना कर रहे हैं।

इन कारकों के कारण, हमलों की पूर्ण संख्या ईएसईटी की टेलीमेट्री से हम जो सीख सकते हैं उससे अधिक होने जा रहे हैं। उस ने कहा, हम मानते हैं कि हमारी टेलीमेट्री समग्र स्थिति का सटीक प्रतिनिधित्व है; विभिन्न हमलों का पता लगाने में समग्र वृद्धि और कमी, प्रतिशत-वार, साथ ही ईएसईटी द्वारा नोट किए गए हमले के रुझान, सुरक्षा उद्योग में समान होने की संभावना है।

मेरे सहयोगियों ब्रूस पी. ब्यूरेल, जैकब फ़िलिप, टॉमस फोल्टन, रेने होल्ट, एलोड किरोन्स्की, ओन्ड्रेज कुबोविक, गैब्रिएल लाडौसेर-डेस्पिन, ज़ुज़ाना परदुबस्का, लिंडा स्क्रेकाना और पीटर स्टैनिक को इस पेपर के संशोधन में उनकी सहायता के लिए विशेष धन्यवाद।

आर्य गोरेत्स्की, जेडसीएसई, आरएमवीपी
प्रतिष्ठित शोधकर्ता, ईएसईटी