A rosszul konfigurált távoli hozzáférési szolgáltatások továbbra is könnyű hozzáférést biztosítanak a rossz szereplőknek a vállalati hálózatokhoz – a következőképpen csökkentheti a távoli asztali protokollal visszaélő támadásoknak való kitettségét
Ahogy a COVID-19 világjárvány az egész világon elterjedt, sokan közülünk, köztük én is, az otthoni munkavégzés felé fordultunk. Az ESET sok alkalmazottja már hozzászokott ahhoz, hogy az idő egy részében távolról dolgozzon, és nagyrészt a meglévő erőforrások bővítéséről volt szó, hogy kezelni lehessen az új távoli dolgozók beáramlását, például néhány további laptop és VPN-licenc vásárlásáról.
Ugyanez azonban nem mondható el sok szervezetről szerte a világon, amelyeknek vagy a nulláról kellett hozzáférést beállítaniuk távoli munkaerő számára, vagy legalább jelentősen fel kellett bővíteniük Remote Desktop Protocol (RDP) szervereiket, hogy a távoli hozzáférést sokak számára használhassák. egyidejű felhasználók.
Az informatikai részlegek segítése érdekében, különösen azoknak, akiknek a távoli munkaerő újdonságnak számított, a tartalomosztályunkkal együttműködve elkészítettem egy dokumentumot, amely bemutatja, hogy az ESET milyen típusú támadásokat tapasztalt, amelyek kifejezetten az RDP-t célozták, és néhány alapvető lépést az ellenük való védekezés érdekében. . Ez a papír megtalálható itt az ESET vállalati blogján, ha kíváncsi vagy.
Körülbelül ugyanabban az időben, amikor ez a változás bekövetkezett, az ESET újra bevezette a globális rendszerünket fenyegetési jelentések, és az egyik dolog, amit megjegyeztünk, az RDP-támadások tovább növekedtek. A mi szerint fenyegetési jelentés 2022 első négy hónapjáról, több mint 100 XNUMX milliárd ilyen támadásokat kíséreltek meg, amelyeknek több mint fele orosz IP-címblokkra vezethető vissza.
Nyilvánvaló, hogy újra meg kellett vizsgálni az elmúlt néhány évben kifejlesztett RDP kihasználásokat és az általuk lehetővé tett támadásokat, hogy beszámolhassunk arról, mit látott az ESET fenyegetési intelligenciáján és telemetriáján keresztül. Tehát ezt tettük: 2020-as lapunk új verziója, immár a címe Remote Desktop Protocol: Távoli hozzáférés konfigurálása a biztonságos munkaerő érdekében, azért tették közzé, hogy megosszák ezeket az információkat.
Mi történt az RDP-vel?
A felülvizsgált dokumentum első részében megvizsgáljuk, hogyan fejlődtek a támadások az elmúlt néhány évben. Egy dolgot szeretnék megosztani, hogy nem minden támadás nőtt. A sérülékenység egyik típusa esetében az ESET jelentősen csökkent a kihasználási kísérletek száma:
- A BlueKeep észlelései (CVE-2019 0708-) a távoli asztali szolgáltatások féregteleníthető kiaknázása 44%-kal csökkent a 2020-as csúcshoz képest. Ezt a csökkenést a Windows érintett verzióira vonatkozó javítási gyakorlatok és a hálózat peremén lévő kihasználások elleni védelem kombinációjának tulajdonítjuk.
Az egyik gyakran hallható panasz a számítógép-biztonsági cégekkel kapcsolatban, hogy túl sok időt töltenek azzal, hogy a biztonság folyamatosan romlik, és nem javul, és hogy a jó hírek ritkán és csak átmenetiek. A kritikák egy része helytálló, de a biztonság mindig egy folyamatos folyamat: mindig új fenyegetések jelennek meg. Ebben az esetben jó hírnek tűnik, ha egy sebezhetőség, például a BlueKeep kihasználására tett kísérletek idővel csökkennek. Az RDP-t továbbra is széles körben használják, és ez azt jelenti, hogy a támadók továbbra is kutatást fognak végezni az általuk kihasználható sebezhetőségek felderítésére.
Ahhoz, hogy a kihasználások egy osztálya eltűnjön, bármit is, ami sérülékeny rájuk, le kell állítani. Emlékszem, utoljára ekkora változást akkor láttam, amikor a Microsoft 7-ben kiadta a Windows 2009-et. A Windows 7-ben az AutoRun (AUTORUN.INF) letiltása is támogatott. A Microsoft ezt a változást a Windows összes korábbi verziójára visszahordta, bár nem tökéletesen az első alkalommal. A Windows 95 1995-ös kiadása óta elterjedt funkció, az AutoRun-t erősen visszaélték olyan férgek terjesztésére, mint pl. Conficker. Egy ponton az AUTORUN.INF-alapú férgek okozták az ESET szoftvere által tapasztalt fenyegetések közel negyedét. Ma alatt a tized százalék észlelések.
Az AutoPlay-től eltérően az RDP továbbra is a Windows rendszeresen használt funkciója, és csak azért, mert csökken az egyetlen kizsákmányolás ellene történő használata, ez nem jelenti azt, hogy az egész ellen irányuló támadások csökkennek. Ami azt illeti, a sebezhetőségei elleni támadások jelentősen megszaporodtak, ami egy újabb lehetőséget vet fel a BlueKeep észlelések csökkenésére: más RDP kizsákmányolások sokkal hatékonyabbak lehetnek, hogy a támadók átálltak rájuk.
A 2020 elejétől 2021 végéig tartó két év adatait tekintve úgy tűnik, hogy egyetértünk ezzel az értékeléssel. Ebben az időszakban az ESET telemetria hatalmas növekedést mutat a rosszindulatú RDP-csatlakozási kísérletek számában. Mekkora volt az ugrás? 2020 első negyedévében 1.97 milliárd kapcsolódási kísérletet tapasztaltunk. 2021 negyedik negyedévére ez 166.37 milliárd csatlakozási kísérletre ugrott, ami több mint 8,400%-os növekedést jelent!
2. ábra: Rosszindulatú RDP-csatlakozási kísérletek világszerte észlelve (forrás: ESET telemetria). Az abszolút számok kerekítve vannak
Nyilvánvaló, hogy a támadók értékesnek találják a szervezetek számítógépeihez való csatlakozást, akár kémkedés, zsarolóprogramok telepítése vagy más bűncselekmény miatt. De védekezni is lehet ezek ellen a támadások ellen.
A felülvizsgált dokumentum második része frissített útmutatást ad az RDP elleni támadások elleni védekezéshez. Bár ez a tanács inkább azoknak az informatikai szakembereknek szól, akik esetleg nincsenek hozzászokva ahhoz, hogy megerősítsék hálózatukat, olyan információkat tartalmaznak, amelyek akár a tapasztaltabb személyzet számára is hasznosak lehetnek.
Új adatok az SMB támadásokról
Az RDP-támadásokra vonatkozó adatokkal váratlan telemetria-kiegészítés jelent meg a szerverüzenetblokk- (SMB) támadások kísérleteiből. Tekintettel erre a hozzáadott bónuszra, nem tudtam nem nézni az adatokat, és úgy éreztem, hogy azok eléggé teljesek és érdekesek ahhoz, hogy az újságba bekerülhessen egy új rész az SMB-támadásokról és az ellenük való védekezésről.
Az SMB az RDP kiegészítő protokolljának tekinthető, mivel lehetővé teszi a fájlok, nyomtatók és egyéb hálózati erőforrások távoli elérését az RDP-munkamenet során. 2017-ben megjelent az EternalBlue (CVE-2017 0144-) wormable exploit. A kizsákmányolás használata folyamatosan nőtt 2018, 2019, és be 2020, az ESET telemetria szerint.
3. ábra: CVE -2017-0144 „EternalBlue” észlelések világszerte (Forrás: ESET telemetria)
Az EternalBlue által kihasznált sebezhetőség csak az SMBv1-ben található, a protokoll 1990-es évekbeli változatában. Az SMBv1-et azonban évtizedeken keresztül széles körben alkalmazták operációs rendszerekben és hálózati eszközökben, és csak 2017-ig kezdte el a Microsoft olyan Windows-verziókat szállítani, amelyeknél az SMBv1 alapértelmezés szerint le volt tiltva.
2020 végén és 2021-ig az ESET-nél jelentősen csökkent az EternalBlue sebezhetőség kihasználására tett kísérletek száma. A BlueKeephez hasonlóan az ESET is a javítási gyakorlatnak, a jobb védelemnek a hálózat peremén és az SMBv1 használatának csökkenésének tulajdonítja.
Záró gondolatok
Fontos megjegyezni, hogy az ebben a felülvizsgált dokumentumban bemutatott információk az ESET telemetriájából származnak. Amikor valaki fenyegetettségi telemetriai adatokkal dolgozik, bizonyos feltételeket kell alkalmazni az értelmezéshez:
- A fenyegetések telemetriájának megosztása az ESET-tel nem kötelező; ha egy ügyfél nem csatlakozik az ESET LiveGrid® rendszeréhez, vagy nem oszt meg anonimizált statisztikai adatokat az ESET-tel, akkor nem lesz adatunk arról, hogy az ESET szoftverének telepítése mivel találkozott.
- A rosszindulatú RDP és SMB tevékenységek észlelése az ESET védelmi rendszerének több rétegén keresztül történik technológia, beleértve Botnet védelem, Brute Force Attack Protection, Hálózati támadás elleni védelem, és így tovább. Az ESET nem mindegyik programja rendelkezik ilyen védelmi rétegekkel. Például az ESET NOD32 Antivirus alapvető szintű védelmet nyújt a rosszindulatú programok ellen az otthoni felhasználók számára, és nem rendelkezik ezekkel a védelmi rétegekkel. Jelen vannak az ESET Internet Security és az ESET Smart Security Premium programban, valamint az ESET üzleti felhasználóknak szánt végpontvédelmi programjaiban.
- Bár a jelen dokumentum elkészítésekor nem használták fel, az ESET fenyegetésjelentései régió- vagy országszintű földrajzi adatokat szolgáltatnak. A GeoIP-észlelés a tudomány és a művészet keveréke, és olyan tényezők, mint a VPN-ek használata és az IPv4-blokkok gyorsan változó tulajdonjoga, hatással lehetnek a helymeghatározás pontosságára.
- Hasonlóképpen, az ESET egyike a sok védőnek ezen a téren. A telemetria megmondja, hogy az ESET szoftverének mely telepítései akadályozzák meg, de az ESET-nek nincs rálátása arra, hogy más biztonsági termékek ügyfelei mivel találkoznak.
Ezen tényezők miatt a támadások abszolút száma magasabb lesz, mint amit az ESET telemetriájából tanulhatunk. Ennek ellenére úgy gondoljuk, hogy telemetriánk pontosan leképezi az általános helyzetet; a különféle támadások észlelésének százalékos általános növekedése és csökkenése, valamint az ESET által észlelt támadási trendek valószínűleg hasonlóak lesznek a biztonsági ágazatban.
Külön köszönet kollégáimnak Bruce P. Burrellnek, Jakub Filipnek, Tomáš Foltýnnak, Rene Holtnak, Kironský Elődnek, Ondrej Kubovičnak, Gabrielle Ladouceur-Despinsnek, Zuzana Pardubskának, Linda Skrúcanának és Peter Stančíknak, hogy segítettek a dolgozat átdolgozásában.
Aryeh Goretsky, ZCSE, rMVP
Kiváló kutató, ESET
- blockchain
- coingenius
- cryptocurrency pénztárcák
- titkosítás
- kiberbiztonság
- kiberbűnözők
- Kiberbiztonság
- belbiztonsági osztály
- digitális pénztárcák
- ESET kutatás
- tűzfal
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plató
- plato ai
- Platón adatintelligencia
- Platón játék
- PlatoData
- platogaming
- VPN
- Biztonságban élünk
- A honlap biztonsága
- zephyrnet
